Nella sicurezza informatica, si verificano molti problemi nonostante i migliori sforzi dell'utente. Ad esempio, puoi essere colpito da malware da malvertising in qualsiasi momento, è davvero sfortuna. Esistono passaggi che puoi adottare per ridurre al minimo il rischio, come l'utilizzo di un ad-blocker. Ma essere colpiti in questo modo non è colpa dell'utente. Altri attacchi si concentrano invece sull'indurre l'utente a fare qualcosa. Questi tipi di attacchi rientrano nell'ampia bandiera degli attacchi di ingegneria sociale.
L'ingegneria sociale implica l'utilizzo dell'analisi e della comprensione di come le persone gestiscono determinate situazioni per manipolare un risultato. L'ingegneria sociale può essere eseguita contro grandi gruppi di persone. In termini di sicurezza informatica, tuttavia, viene generalmente utilizzato contro gli individui, anche se potenzialmente come parte di una vasta campagna.
Un esempio di ingegneria sociale contro un gruppo di persone potrebbe essere il tentativo di provocare il panico come distrazione. Ad esempio, un militare che esegue un'operazione sotto falsa bandiera o qualcuno che urla "fuoco" in un luogo affollato e poi ruba nel caos. A un certo livello, anche la semplice propaganda, il gioco d'azzardo e la pubblicità sono tecniche di ingegneria sociale.
Nella sicurezza informatica, tuttavia, le azioni tendono ad essere più individuali. Il phishing cerca di convincere gli utenti a fare clic e collegarsi e inserire i dettagli. Molte truffe tentano di manipolare in base alla paura o all'avidità. Gli attacchi di ingegneria sociale nella sicurezza informatica possono persino avventurarsi nel mondo reale, come tentare di ottenere l'accesso non autorizzato a una sala server. È interessante notare che, nel mondo della sicurezza informatica, quest'ultimo scenario, e altri simili, sono in genere ciò che si intende quando si parla di attacchi di ingegneria sociale.
Ingegneria sociale più ampia - online
Il phishing è una classe di attacco che tenta di indurre la vittima a fornire dettagli a un utente malintenzionato. Gli attacchi di phishing vengono in genere consegnati in un sistema esterno, ad esempio tramite e-mail, e quindi hanno due distinti punti di ingegneria sociale. Innanzitutto, devono convincere la vittima che il messaggio è legittimo e convincerla a fare clic sul collegamento. Questo quindi carica la pagina di phishing, in cui all'utente verrà quindi chiesto di inserire i dettagli. Di solito, questo sarà il loro nome utente e password. Ciò si basa sull'e-mail iniziale e sulla pagina di phishing, entrambe abbastanza convincenti da indurre l'ingegnere sociale a fidarsi di loro.
Molte truffe tentano di indurre l'ingegneria sociale delle vittime a consegnare denaro. La classica truffa del "principe nigeriano" promette una grossa vincita se la vittima può far fronte a un piccolo anticipo. Naturalmente, una volta che la vittima paga la "tassa", non viene mai ricevuto alcun compenso. Altri tipi di attacchi truffa funzionano su principi simili. Convincere la vittima a fare qualcosa, in genere consegnare denaro o installare malware. Anche il ransomware ne è un esempio. La vittima deve consegnare denaro o rischia di perdere l'accesso a qualunque dato sia stato crittografato.
Ingegneria sociale di persona
Quando si fa riferimento all'ingegneria sociale nel mondo della sicurezza informatica, in genere si fa riferimento ad azioni nel mondo reale. Ci sono molti scenari di esempio. Uno dei più basilari è chiamato tail-gating. Questo è in bilico abbastanza vicino dietro qualcuno da tenere aperta una porta ad accesso controllato per farti passare. Il tail-gating può essere migliorato impostando uno scenario in cui la vittima potrebbe aiutarti. Un metodo è uscire con i fumatori fuori durante una pausa fumo e poi tornare dentro con il gruppo. Un altro metodo è quello di portare qualcosa di goffo. È ancora più probabile che questa tecnica abbia successo se ciò che stai portando potrebbe essere per gli altri. Ad esempio, se hai un vassoio di tazze da caffè per "la tua squadra", c'è una pressione sociale affinché qualcuno ti tenga la porta aperta.
Gran parte dell'ingegneria sociale di persona si basa sulla creazione di uno scenario e quindi sull'essere fiduciosi al suo interno. Ad esempio, un ingegnere sociale potrebbe atteggiarsi a una sorta di operaio edile o addetto alle pulizie che potrebbe essere generalmente trascurato. Fingendosi un buon samaritano, consegnare una chiavetta USB "smarrita" potrebbe far sì che un dipendente la colleghi. L'intento sarebbe quello di vedere a chi appartiene, ma potrebbe poi infettare il sistema con malware.
Questi tipi di attacchi di ingegneria sociale di persona possono avere molto successo, poiché nessuno si aspetta davvero di essere ingannato in quel modo. Tuttavia, comportano un grande rischio per l'attaccante che ha una reale possibilità di essere colto in flagrante.
Conclusione
L'ingegneria sociale è il concetto di manipolazione delle persone per raggiungere un obiettivo mirato. Un modo prevede la creazione di una situazione dall'aspetto reale per indurre la vittima a crederci. Puoi anche creare uno scenario in cui c'è una pressione sociale o un'aspettativa che la vittima agisca contro i consigli di sicurezza standard. Tutti gli attacchi di ingegneria sociale, tuttavia, si basano sull'inganno di una o più vittime affinché compiano un'azione che l'attaccante vuole che facciano.