Video: COME PROTEGGERSI DAL COVID-19 (Novembre 2024)
Il social engineering è ciò che alimenta le e-mail di phishing e i siti Web dannosi che sono vestiti in modo da sembrare siti Web sicuri e popolari. Durante una discussione con Chris Hadnagy, Chief Human Hacker della Social-Engineer Inc., gli ho chiesto come individuare queste truffe. Il suo consiglio fa eco a ciò che abbiamo spesso detto ai lettori: essere sempre sospettosi.
Più di un imbroglione
Dalla mia discussione con Hadnagy, è chiaro che alcuni di quelli che chiamiamo social engineering sono gli stessi trucchi che le persone hanno usato per anni le decisioni sull'influenza. L'industria del fast food, ad esempio, ha esplorato notoriamente quali colori incoraggerebbero le persone a mangiare più velocemente. Falsi spiritualisti del diciannovesimo secolo (che include membri della mia famiglia) e oggi usano una tattica chiamata "lettura a freddo" per indurre le vittime a rivelare informazioni su se stessi.
Ma c'è di più nell'ingegneria sociale che trucchi economici, come dimostrato dal Concorso Social Engineering Capture the Flag tenutosi al Def Con. Qui, i concorrenti guadagnano punti per le informazioni che raccolgono dalle società di ricerca e dal contattare direttamente tali aziende. Hadnagy ha affermato che anche i migliori partecipanti al punteggio hanno fatto il maggior numero di ricerche, il che dimostra quanto sia utile conoscere i tuoi obiettivi.
Sfortunatamente, ora è un grande momento per essere un ingegnere sociale che fa ricerche o raccoglie informazioni open source. Hadnagy ha spiegato che le aziende e gli individui pubblicano molte informazioni sui social media, molte delle quali possono essere utilizzate negli attacchi di ingegneria sociale. In precedenza, abbiamo esaminato il modo in cui i truffatori hanno cercato di utilizzare le informazioni raccolte da Facebook per rendere le loro truffe più attraenti, a volte con risultati esilaranti.
Targeting Emozione
Una delle migliori tattiche di ingegneria sociale è di impedirti di pensare in modo critico, di solito prendendo di mira le emozioni. Hadnagy ha affermato che un attacco che lo ha quasi ingannato ha affermato di essere un'e-mail di spedizione su Amazon. "Era qualcosa di personale, qualcosa che ha influenzato la mia vita e qualcosa che era importante per me", ha detto.
In questo particolare attacco, Hadnagy ha ricevuto un'email in cui affermava che uno dei suoi importanti ordini su Amazon era stato ritardato a causa di un numero di carta di credito rifiutato. Nei giorni precedenti una grande conferenza, Hadnagy ha affermato di essere stato oberato di lavoro e ha fatto clic sul collegamento nell'e-mail, anziché visitare direttamente Amazon. La pagina in cui è stato portato era ben realizzata, ma per fortuna ha notato il dominio ".ru" prima di inserire qualsiasi informazione personale.
Mentre era semplice, questa tattica era molto efficace. "Sono il ragazzo che, a causa di quello che faccio, ha phishing oltre 190.000 persone negli ultimi mesi", ha detto Hadnagy, riferendosi al suo lavoro di consulenza. "Sono quasi caduto per questo attacco."
Un altro vantaggio di attrarre emozioni è che non richiede il tipo di ricerca impiegato dai migliori ingegneri sociali. "Quello che vedremo è che scegli cose che sono importanti per le masse." Hadnagy ha spiegato che ciò include la spedizione UPS, gli ordini Amazon e i trasferimenti PayPal.
L'appello di massa funziona bene anche per la trasmissione in massa, un'altra tattica frequente. "Mandano questi a milioni di persone alla volta, quindi non gli importa se ottengono il 100 percento", ha detto Hadnagy. "Il 10 percento è ancora migliaia di account compromessi".
Rimanere al sicuro
Molte delle tattiche utilizzate per individuare le e-mail di phishing sono vere anche per il social engineering. Qualcosa che sembra troppo bello per essere vero, o troppo cattivo per essere vero, probabilmente non è vero. Tattiche come passare il mouse sopra i collegamenti per vedere l'URL completo, inserire manualmente gli indirizzi web ed evitare i collegamenti che arrivano di punto in bianco sono tutte tattiche valide.
Ma la parte live call del concorso Capture the Flag evidenzia un altro aspetto dell'ingegneria sociale: la fiducia istituzionale. Quest'anno, molti dei concorrenti si sono presentati come collaboratori o venditori, il che ha dato ai dipendenti delle aziende target un motivo immediato per fidarsi di loro. A volte, vale la pena porre domande quando qualcuno che afferma di essere il CEO della tua azienda ti chiama personalmente.
Hadnagy ha fatto una carriera spiegando l'ingegneria sociale, ma non è preoccupato se gli attaccanti stanno raccogliendo i suoi trucchi. "I cattivi non stanno cercando i dati su come farlo", ha detto a SecurityWatch. "Sanno già come. Il problema è che i bravi ragazzi non lo fanno." Attraverso il suo lavoro, Hadnagy crede di poter insegnare all'America corporativa e alla gente normale come pensare in modo critico alle loro interazioni quotidiane e come rispondere nei casi peggiori. Hadnagy lo ha spiegato in questo modo: "Invece di armare i cattivi, armano i bravi ragazzi".
Immagine tramite l'utente di Flickr Travis V.