Cosa sono gli attacchi di ingegneria sociale e come puoi prevenirli?

Pubblicato: 2019-11-14

Se acquisti qualcosa tramite i nostri link, potremmo guadagnare denaro dai nostri partner affiliati. Per saperne di più.

Sai cos'è un attacco di ingegneria sociale? Se dici che non sei preoccupato perché disponi di una potente soluzione antivirus/malware, non ti aiuterà affatto.

Questo video mostra quanto siano facili e spaventosi gli attacchi di ingegneria sociale.

Questo perché l'ingegneria sociale sfrutta il comportamento umano e non le vulnerabilità del tuo software o hardware. Ed è per questo che la tua strategia di sicurezza informatica deve cambiare e adattarsi per affrontare i diversi modi in cui i criminali informatici lanciano attacchi.

Secondo un nuovo rapporto di GetApp, solo il 27% delle aziende offre formazione di ingegneria sociale ai propri dipendenti. Considerando che ottobre è stato il mese nazionale della sicurezza informatica, i dati di GetApp sono tempestivi e approfonditi.

Il titolo del rapporto è "10 statistiche sulla sicurezza informatica che ogni azienda dovrebbe conoscere". E secondo il rapporto, le complessità del panorama della sicurezza IT richiedono: “... una serie di corsi di formazione su molti argomenti. Sfortunatamente, le aziende spesso forniscono formazione sulla sicurezza solo su una parte di queste preoccupazioni, lasciando i dipendenti all'oscuro degli altri".

Che cos'è un attacco di ingegneria sociale?

L'FBI dice che l'ingegneria sociale è progettata per farti abbassare la guardia. Continua dicendo che è una tecnica comune che criminali, avversari, concorrenti e spie usano per sfruttare persone e reti di computer. Perché, perché non richiede competenze tecniche.

Gli attacchi di ingegneria sociale utilizzano l'inganno per manipolare il comportamento delle persone. L'obiettivo è convincere la persona a divulgare informazioni riservate, personali e protette. Quando ottengono queste informazioni, i truffatori le usano per inseguire il loro obiettivo finale. E l'obiettivo finale può essere qualsiasi cosa, dai dati sensibili al fare commenti denigratori su una persona, un candidato politico o persino un marchio.

In passato questi stessi criminali potevano essere chiamati truffatori/truffatori, ma la premessa è la stessa, guadagnarsi la fiducia della persona truffata.

Tipo di attacchi di ingegneria sociale

L'unica cosa che dovresti sapere sugli attacchi di ingegneria sociale è che sono in continua evoluzione. Per questo motivo, devi formare regolarmente i tuoi dipendenti. Perché non sai mai quale sarà la prossima forma di attacco.

Alcuni dei tipi di attacchi utilizzati dai criminali sono:

Pretexting – Gli aggressori fingono di aver bisogno di informazioni personali o finanziarie per confermare l'identità del destinatario.

Water-hole : gli aggressori infettano un sito Web per compromettere le persone che visitano frequentemente quel sito per ottenere l'accesso alla rete.

Furto di diversione - I truffatori ingannano le società di consegna o di corriere per far cadere un pacco a un indirizzo sbagliato intercettando la transazione.

Quid Pro Quo – Come suggerisce il nome, gli aggressori promettono qualcosa alla vittima in cambio di informazioni o aiuto.

Phishing e SMishing : gli attacchi di phishing utilizzano la posta elettronica e SMishing utilizza i messaggi di testo per indurre l'utente finale a fare clic su un collegamento dannoso o a scaricarlo. Considerando che il 91% degli attacchi riusciti inizia come e-mail di phishing, è particolarmente importante aumentare la consapevolezza di questi tipi di attacchi.

Honey Trap – Gli aggressori fingono di essere una persona attraente e iniziano una falsa relazione online per ottenere informazioni sensibili.

Adescamento : gli aggressori lasciano un dispositivo infetto da malware, come un'unità flash, in un luogo dove può essere trovato facilmente. Quando l'unità si connette a un computer, installa il malware.

Questi sono solo alcuni degli attacchi di social engineering utilizzati dai truffatori, ma ce ne sono altri e senza dubbio i criminali ne stanno creando di nuovi proprio in questo momento.

Proteggersi da un attacco di ingegneria sociale

La consapevolezza è fondamentale per proteggere la tua azienda da tutte le forme di attacco, sia nel mondo fisico che digitale. Al contrario, gli attacchi di ingegneria sociale si basano sul compiacimento delle persone che prendono di mira.

Con questo in mente, devi eliminare i comportamenti che sono responsabili di qualsiasi compiacimento nella tua organizzazione. E questo significa andare contro i tratti innati delle persone, come la fiducia e la volontà di aiutare gli altri. Dati questi punti, devi insistere che i tuoi dipendenti verifichino, verifichino, verifichino.

Il sistema in tre fasi per verificare una richiesta di Kevin D. Mitnick proviene da un hacker reale e dal suo libro "The Art of Deception: Controlling the Human Element of Security".

A prima vista, questo può sembrare semplicistico. Tuttavia, se qualcuno che non conosci sta richiedendo alcune informazioni, saprai chi sono se segui i passaggi.

  1. Quando qualcuno richiede alcune informazioni, dì ai tuoi dipendenti di verificare che la persona sia chi affermano di essere.
  2. Assicurati che stiano attualmente lavorando presso l'azienda o che abbiano un'affiliazione necessaria con l'organizzazione.
  3. Prima di fornire le informazioni, assicurati che siano autorizzati a fare tale richiesta.

Con questi tre semplici passaggi, i tuoi dati non verranno mai ceduti alla persona sbagliata. Vale la pena ripetere, i tuoi dipendenti non possono essere negligenti nel seguire questi passaggi o apportarvi modifiche.

Ulteriori modi per proteggere la tua azienda

Alcuni degli altri modi in cui tu e i tuoi dipendenti potete proteggere voi stessi e l'azienda includono:

  • I tuoi dati possono essere utilizzati contro di te, quindi smetti di rivelare fatti sulla tua vita personale e quella aziendale a estranei. Prestare particolare attenzione ai canali dei social media.
  • Esamina tutte le richieste di posta elettronica finché non sai per certo chi è il mittente. Ricorda, anche le email che ricevi da amici e colleghi potrebbero essere false.
  • Se sospetti che la persona che sta cercando di ottenere informazioni sia un truffatore, non esitare a essere severo o scortese, se necessario.
  • Aumenta la consapevolezza nella tua organizzazione con frequenti sessioni di formazione sulla sicurezza informatica e imparando le ultime truffe.
  • Rivedere continuamente i processi e le procedure per le transazioni importanti.
  • Non riutilizzare le password e implementa una politica di modifica delle password in tutta l'organizzazione.

I criminali lanceranno tutto contro i tuoi dipendenti per trascurare un passaggio, e nel momento in cui lo fanno; i tuoi dati sono in pericolo.

Una governance forte e rigorosa con responsabilità può far funzionare tutto questo. Soprattutto, non ti costerà nulla.

Qualificati per sconti, offerte speciali e altro ancora con un account Business Prime di Amazon. Puoi creare un account GRATUITO per iniziare oggi.

Immagine: Depositphotos.com