Le tecniche di
ingegneria sociale sfruttano vulnerabilità psicologiche e l’elemento umano per manipolare le persone al fine di ottenere accesso a informazioni riservate o risorse aziendali. Nella maggior parte di casi, non si tratta quindi di hackeraggi di sistemi informatici ma di veri e propri raggiri nei confronti di aziende, privati ed utenti. Vediamo le principali.
PHISHING
Il
phishing è tra le tecniche più comuni e consiste nell'invio di email o messaggi che sembrano provenire da fonti affidabili (banche, aziende, colleghi) per convincere la vittima a fornire informazioni sensibili, come password o numeri di carte di credito. Esso può colpire un singolo individuo o gruppo specifico (spear), essere rivolto a dirigenti di alto livello (whaling), via SMS, dove si chiede alla vittima di cliccare su link dannosi (smishing) e telefonico, dove l'attaccante si finge un operatore per ottenere dati sensibili (
vishing).
REVERSE PHISHING
Al contrario del phishing tradizionale, in questo caso l'attaccante si fa contattare dalla vittima. Un esempio classico è il sito web fasullo che attira l’utente con promesse di supporto tecnico gratuito o vantaggi speciali. Una volta che l’utente prende contatto, il truffatore può guidarlo a scaricare malware o a condividere informazioni personali.
ANGLER PHISHING
L'angler phishing avviene tramite piattaforme di social media, come Twitter, Facebook o LinkedIn. L’attaccante si finge il servizio clienti di un’azienda e interagisce con la vittima che ha segnalato un problema pubblicamente, per convincerla a fornire informazioni personali o a cliccare su link dannosi. È molto diffuso nelle grandi aziende con account verificati e spesso sfrutta messaggi pubblici per "pescare" le vittime.
PRETEXTING
Il
pretexting è una tecnica in cui l'attaccante crea una storia credibile per convincere la vittima a fornire informazioni. Ad esempio, un truffatore può fingersi un impiegato delle risorse umane che ha bisogno di confermare dati personali, un tecnico che richiede informazioni di accesso per risolvere un problema o comunque dati sensibili.
BAITING
Baiting utilizza una "esca" (una specie di
honeypot) per attirare la vittima per eseguire azioni dannose. Un esempio classico è un dispositivo USB infetto lasciato in un’area pubblica. Quando la persona che lo trova inserisce la chiavetta nel computer, il malware si installa. Anche annunci che promettono download gratuiti (film, software) possono nascondere software dannoso.
REVERSE BAITING
In questo tipo di attacco, il criminale fa in modo che sia la vittima a voler fornire le informazioni. Ad esempio, può creare un sito di "contest" o di ricerca "esclusiva" che invita le persone a partecipare a un gioco, offrendo in cambio una ricompensa. Una volta catturata l'attenzione, la vittima è incoraggiata a completare un modulo o un questionario che raccoglie dati personali.
IMPERSONIFICAZIONE
In questo caso, l'attaccante si finge una persona fidata o conosciuta per ottenere informazioni. Gli attaccanti spesso fingono di essere colleghi, membri delle forze dell'ordine o fornitori di servizi tecnici per convincere la vittima a condividere dati sensibili o a eseguire azioni specifiche.
TAILGATING/PIGGYBACKING
Questa tecnica è utilizzata per ottenere accesso fisico non autorizzato. L’attaccante segue una persona autorizzata all'interno di un'area protetta approfittando di un momento di disattenzione. Alcuni possono anche travestirsi da tecnici o dipendenti per superare i controlli.
HUMAN HACKING
Questa tecnica sfrutta le norme sociali, come il bisogno delle persone di sembrare disponibili e amichevoli. Ad esempio, un ingegnere sociale può chiedere una piccola concessione ("Potresti aprire questa porta? Ho dimenticato il badge") sfruttando la tendenza umana a non voler apparire scortese. Si tratta di una variante del tailgating, spesso usata per ottenere accesso fisico o per superare controlli di sicurezza minori.
QUID PRO QUO
Questa tecnica sfrutta l'offerta di un servizio gratuito in cambio di informazioni o azioni. Ad esempio, l'attaccante si finge un tecnico e offre supporto gratuito in cambio delle credenziali d’accesso. Anche promesse di regali o agevolazioni sono usate per spingere la vittima a condividere informazioni.
SHOULDER SURFING
Con questa tecnica, il truffatore osserva fisicamente la vittima mentre inserisce dati sensibili, come password o PIN, senza farsi notare. Questo avviene spesso in luoghi pubblici, come bancomat, stazioni e caffetterie.
SCAREWARE
Questa tecnica fa leva sulla paura della vittima, mostrando falsi messaggi di virus o malware, spesso tramite finestre pop-up sullo schermo. I messaggi avvertono l’utente che il dispositivo è infetto e suggeriscono di scaricare un "software di protezione" che in realtà è il vero malware o chiedono di fornire dati personali per "risolvere" il problema.
HONEY TRAP
E' una tecnica di seduzione usata per indurre la vittima a rivelare informazioni sensibili, spesso con l'illusione di una relazione personale. È frequente in contesti di spionaggio aziendale e può anche essere combinata con altre tecniche, come il phishing.
DUMPSTER DIVING
Esso consiste nel cercare informazioni sensibili nei rifiuti di un’azienda, come documenti, note, e anche dispositivi scartati. Gli ingegneri sociali possono recuperare dati personali, note su progetti e altre informazioni utili anche dai cestini dei rifiuti aziendali.
REVERSE SOCIAL ENGINEERING
Con questa tecnica avanzata, l'attaccante provoca un problema nell’organizzazione (o convince la vittima di avere un problema) e attende che sia la vittima stessa a cercare aiuto, rivolgendosi inconsapevolmente proprio all'attaccante che chiede un test di sicurezza. L’attaccante quindi "aiuta" la vittima risolvendo il falso problema o aumentando la sicurezza e poi sfrutta la fiducia per ottenere dati sensibili o accesso ai sistemi.
WATERING HOLE ATTACK
L’attaccante individua un sito web che viene visitato frequentemente dalla vittima o dal suo gruppo e infetta quel sito con malware. Quando la vittima accede al sito, il malware infetta il suo dispositivo, permettendo all’attaccante di ottenere dati o accessi.
CON MAN
Una forma più complessa di pretexting, in cui l’attaccante sviluppa una relazione nel tempo per guadagnare la fiducia della vittima. Questa tecnica può coinvolgere settimane o mesi di interazione e preparazione, in cui l’attaccante raccoglie informazioni su abitudini, preferenze e relazioni della vittima per costruire un profilo dettagliato e convincente. Il truffatore "Con Man" può impersonare più personaggi o cambiare ruolo in modo strategico per mantenere la fiducia e guadagnare informazioni preziose.
ELICITING
Questa tecnica prevede di fare una serie di domande per raccogliere informazioni senza far sospettare la vittima. Per esempio, un attaccante può porre domande generiche su progetti o abitudini lavorative, facendo sembrare la conversazione innocente e informale. Utilizzato spesso nelle telefonate, l’eliciting sfrutta abilità di conversazione per raccogliere lentamente dettagli specifici.
FAKE JOB OFFER
Gli attaccanti utilizzano offerte di lavoro allettanti per attirare le vittime. Tramite false pagine di assunzione o annunci su LinkedIn, richiedono alla vittima di fornire dati personali e bancari o di installare software dannosi come "strumenti di onboarding". In alcuni casi, l’attacco è mirato a rubare credenziali da dipendenti di aziende concorrenti per accedere a segreti aziendali.
SCAM DI SUPPORTO TECNICO
Gli attaccanti chiamano le vittime fingendosi tecnici di supporto e avvertono che un dispositivo è compromesso. Chiedono alla vittima di installare software che consente l’accesso remoto, che utilizzano per rubare informazioni o installare malware. Spesso, le vittime pagano anche per questo "servizio", il che permette al truffatore di guadagnare direttamente dalla frode.
SLOW BURN ATTACK
Si tratta di un attacco lento e graduale. L’attaccante raccoglie informazioni sulla vittima nel corso di mesi o persino anni, costruendo un profilo dettagliato senza mai destare sospetti. Una volta raccolti abbastanza dati, esegue l'attacco finale. È usato spesso nello spionaggio aziendale.
LOTTERIA E FINTI PREMI
L’attaccante informa la vittima di aver vinto un premio o una lotteria (alla quale non ha mai partecipato) e richiede dati personali o un piccolo "contributo" per la spedizione del premio. È una forma di phishing emotivo che si basa sulla prospettiva di un guadagno improvviso, inducendo le vittime a fornire informazioni sensibili.
FRIEND IN NEED SCAM
Questo schema si basa sull’invio di messaggi che sembrano provenire da amici o familiari della vittima, che chiedono aiuto urgente, spesso finanziario, per una situazione di emergenza. I truffatori impersonano persone della cerchia sociale della vittima utilizzando informazioni ricavate dai social network e fanno leva sul senso di empatia e urgenza per ottenere denaro o informazioni bancarie.