L'"ingegneria sociale" del cybercriminale è una tattica che, nella sua sostanza, risiede in un utente creando una falsa narrazione che sfrutta la credulità, l'avidità, la curiosità o qualsiasi altra caratteristica molto umana della vittima. Il risultato finale è che la vittima fornisce volontariamente informazioni private all'aggressore, che si tratti di informazioni personali (ad es. nome, email), finanziarie (ad es. numero di carta di credito, portafoglio di criptovalute) o installando inavvertitamente malware/backdoor sul proprio sistema.
Possiamo classificare gli attacchi moderni in due categorie molto ampie in base all'obiettivo: Attaccare la macchina o attaccare l'utente. "Attacking the machine" è iniziato nel 1996 con attacchi di sfruttamento delle vulnerabilità con l'articolo fondamentale "Smashing the Stack for Fun and Profit". Tuttavia, "attaccare l'uomo" (ingegneria sociale) è stato, e lo è ancora, estremamente più diffuso. Tutti gli attacchi noti basati sulla non vulnerabilità hanno un elemento di ingegneria sociale in cui l'aggressore sta cercando di convincere la vittima a fare qualcosa che finirà per essere pernicioso per loro.
Sebbene non si tratti di un elenco esaustivo, i seguenti sono i principali attacchi di ingegneria sociale di cui essere a conoscenza:
Il phishing è uno dei tipi più comuni di attacchi di ingegneria sociale. Utilizza email e messaggi di testo per indurre le vittime a fare clic su allegati dannosi o link a siti web dannosi.
Questo attacco utilizza una falsa promessa per invogliare una vittima attraverso l'avidità o l'interesse. Le vittime vengono ingannate in una trappola che compromette le loro informazioni sensibili o infetta i loro dispositivi. Un esempio potrebbe essere quello di lasciare un'unità flash infetta da malware in un luogo pubblico. La vittima potrebbe essere interessata al suo contenuto e inserirlo nel suo dispositivo, installando involontariamente il malware.
In questo attacco, un attore mente a un altro per ottenere l'accesso ai dati. Ad esempio, un aggressore può fingere di aver bisogno di dati finanziari o personali per confermare l'identità del destinatario.
Lo scareware coinvolge le vittime a essere spaventate da falsi allarmi e minacce. Gli utenti potrebbero essere indotti a pensare che il loro sistema sia infettato da malware. Quindi installano la correzione software suggerita, ma questo software potrebbe essere il malware stesso, ad esempio un virus o uno spyware. Esempi comuni sono i banner pop-up che compaiono nel browser, con testo come "Il computer potrebbe essere infetto". Ti offrirà di installare la correzione o ti indirizzerà a un sito web dannoso.
Nello spear phishing l'attacco è specificamente mirato a una particolare persona o organizzazione. Allo stesso modo, gli whaling prendono di mira dipendenti di alto profilo, come CEO e direttori.
Noto anche come piggybacking, il tailgating si verifica quando un aggressore entra in un edificio sicuro o in un ufficio seguendo qualcuno con una scheda di accesso. Questo attacco presuppone che altri possano presumere che l'aggressore sia autorizzato a essere presente.
Le truffe basate sull'intelligenza artificiale sfruttano la tecnologia di intelligenza artificiale per ingannare le vittime. Ecco i tipi più comuni:
Poiché questi attacchi hanno molte forme e dimensioni diverse e si basano sulla fallibilità umana, può essere molto difficile identificare gli attacchi di ingegneria sociale. Ciononostante, se incontri uno dei seguenti elementi, metti in guardia dal fatto che questi sono i principali campanelli d'allarme e suggerisci che sta iniziando un attacco di ingegneria sociale:
La più grande corazza che si può utilizzare contro le tattiche di ingegneria sociale impiegate oggi dai crook online è essere ben informati sui molti modi in cui un cyber criminale potrebbe sfruttare la vulnerabilità dei social media. Più delle conseguenze abituali della preda di spamming, attacchi di phishing e infezioni da malware, la sfida posta dai cyber criminali è avere una solida comprensione e comprensione per mantenere privati i dati.
Oltre a tenere d'occhio i segnali di allarme di cui sopra, le seguenti sono buone pratiche da seguire:
Motivati enormemente dal profitto, i cyber criminali hanno notevolmente aumentato i loro metodi per ottenere informazioni sensibili dagli utenti online per ottenere un guadagno monetario.
Ulteriori informazioni su qui.
Le notizie sulla morte imprevista di Robin Williams il 12 agosto 2014 sono state uno shock per le persone di tutto il mondo. Mentre le notizie sulla sua morte si diffondono come un incendio tra i netizen, spammer e cybercriminali hanno distribuito email spam che menzionano il nome dell'attore nell'oggetto dell'email. La posta indesiderata chiede ai destinatari di scaricare un video di "shocking" sulla morte di William, ma facendo clic sul collegamento video viene scaricato un file eseguibile rilevato come WORM_GAMARUE.WSTQ.
Ulteriori informazioni su qui.
Quando le notizie sulla pandemia di Ebola hanno inondato Internet, i cyber criminali hanno colto l'opportunità di utilizzare i report diffusi come esche per attirare le vittime ignare ad aprire false email. Queste email alla fine portano a tentativi di phishing, in cui le informazioni e le credenziali della vittima vengono rubate.
Ulteriori informazioni su qui.
Possiamo decostruire qualsiasi interazione di ingegneria sociale e ridurla ai seguenti elementi:
Utilizziamo un esempio comune che probabilmente conosci: la truffa stereotipica via email:
Figura 1. Un attacco di ingegneria sociale è il mezzo, menti e chiedi
A partire dal 2024, i criminali raggiungono le loro vittime attraverso tutti i tipi di funzionalità di rete. Utilizzano anche storie fittizie come parte dei loro trucchi di ingegneria sociale. I loro obiettivi sono tipicamente gli stessi, come la divulgazione della password, l'installazione di malware o la condivisione di informazioni personali.
Nel corso degli anni, abbiamo visto una moltitudine di trame diverse nello spazio dell'ingegneria sociale e sareste perdonati per aver pensato che tutte le idee sembrano essere già state utilizzate. Tuttavia, ogni anno gli aggressori continuano a proporre nuovi trucchi di ingegneria sociale. In questo articolo esploreremo i nuovi miglioramenti dell'ingegneria sociale che gli aggressori potrebbero utilizzare in futuro per gli utenti. Cambiando il mezzo, la bugia o la domanda, gli aggressori possono facilmente trovare nuove e innovative truffe per ingannare le loro vittime.
Quali nuovi elementi possiamo aspettarci di vedere? Quali nuovi cambiamenti al vecchio schema possiamo prevedere? In che modo le nuove tecnologie influenzeranno una di queste?
Man mano che emergono nuove tecnologie, gli aggressori ottengono più modi per raggiungere le loro potenziali vittime. Ciò include strumenti IA, dispositivi VR come Apple Vision Pro, il pin Humane, occhiali Ray-Ban o qualsiasi nuovo dispositivo che gli utenti potrebbero iniziare a utilizzare in futuro.
I nuovi dispositivi entrano sul mercato ogni anno e questo espande la superficie di attacco ai cyber criminali. I dispositivi indossabili sono particolarmente interessanti perché sono sempre attivi e sono completamente affidabili per il loro utente. Qualsiasi ploy che coinvolga un dispositivo indossabile ha una maggiore probabilità di essere ritenuto e considerato affidabile. Esiste la possibilità che l'aggressore acceda al dispositivo indossabile. Spesso non sono progettati per implementare strumenti di sicurezza o persino per autenticarsi regolarmente, spesso bypassando i normali controlli di sicurezza.
Figura 2. Un potenziale scenario di dispositivi indossabili come mezzo per gli attacchi di ingegneria sociale
I chatbot IA potrebbero anche essere utilizzati come veicolo per raggiungere l'utente. L'idea di questo attacco è quella di trasmettere informazioni false al chatbot per indurre l'utente ad agire. L'avvelenamento dei dati dei chatbot può essere realizzato in diversi modi, tra cui l'invio di informazioni cattive, il dirottamento dei dati di formazione o l'iniezione di nuovi comandi.
Un nuovo modo per utilizzare il classico mezzo di posta elettronica e di messaggistica istantanea (IM) consiste nell'utilizzare un bot basato su un modello di linguaggio di grandi dimensioni (LLM) per aumentare l'efficacia di un attacco BEC. L'attore delle minacce potrebbe utilizzare il bot LLM per compilare tutta la cronologia dei messaggi precedenti tra la vittima e il CEO. Quindi, il bot potrebbe continuare a creare questo canale affidabile come se fosse il CEO a utilizzare lo stile di scrittura del CEO per convincere la vittima a trasferire il denaro. Ciò sta già accadendo manualmente, ma non è possibile ignorare la possibilità che questo attacco venga automatizzato con l'IA.
La principale innovazione che guida le bugie socialmente ingegnerizzate è l'IA. L'effettiva bugia in una storia di ingegneria sociale varierà in base alla stagione, al paese e al gruppo demografico, per citarne alcuni, ma ciò può cambiare molto rapidamente a causa della scalabilità e della flessibilità che l'IA offre. L'intelligenza artificiale generativa (GenAI) eccelle nella generazione di immagini, audio e video. Per quanto riguarda il testo, eccelle nella creazione di contenuti credibili e nell'elaborazione rapida di grandi quantità di testo. Questa nuova scalabilità apre molti nuovi sviluppi all'aspetto "lie" dell'ingegneria sociale.
Un nuovo tema che gli aggressori possono utilizzare per creare bugie è la tecnologia IA stessa. Ad esempio, creare bugie su ChatGPT o VR può essere efficace a causa dell'interesse che generano. Inoltre, gli aggressori possono creare falsi strumenti correlati all'IA che sono in realtà malware. I grafici sono generalmente curiosi di creare immagini e video in deepfake. Uno strumento che l'aggressore può offrire per facilitarlo potrebbe essere scaricato ed eseguito. Allo stesso modo, l'integrazione di immagini e video deepfake nelle truffe di successo esistenti può aggiungervi più credibilità. Questa strategia è chiaramente in aumento nell'attuale panorama delle minacce. Crediamo che i deepfake abbiano il potenziale per essere altamente dirompenti nelle truffe di ingegneria sociale e che gli aggressori li utilizzeranno ampiamente nel prossimo futuro.
Figura 3. Come le truffe telefoniche e vocali possono essere migliorate dai deepfake