In un mondo sempre più online, dove la fiducia è sia una valuta che una vulnerabilità, gli attori di minacce cercano di manipolare il comportamento umano e di sfruttare la tendenza delle persone di voler essere utili. In questa infografica esploreremo l'ingegneria sociale, compreso perché gli attori di minacce considerano le identità professionali più importanti di qualsiasi altra cosa; inoltre, vedremo alcuni dei modi con cui manipolano la natura umana per raggiungere i loro obiettivi.
Registrati ora per assistere on demand al seminario web con gli approfondimenti del Microsoft Digital Defense Report 2024.
Approfittare dell’economia della fiducia: la frode nell'ingegneria sociale
L'ingegneria sociale e il fascino criminale del phishing
Circa il 901 percento degli attacchi di phishing implica tattiche di ingegneria sociale progettate per manipolare le vittime (di solito tramite messaggi di posta elettronica) affinché rivelino informazioni sensibili, facciano clic su collegamenti o aprano file dannosi. Gli attacchi di phishing sono convenienti per gli hacker, perché consentono di eludere le misure di prevenzione e vantano elevate percentuali di successo.
Le leve del comportamento umano
Le tecniche di ingegneria sociale tendono a basarsi sulla capacità di persuasione degli autori degli attacchi nel convincere i loro target a effettuare azioni normalmente considerate sospette. Le tre leve più efficaci sono urgenza, emozione e abitudine.2 Urgenza Nessuno vuole perdere un'opportunità con scadenza o non riuscire a rispettare una scadenza importante. Il senso di urgenza spesso può ingannare target altrimenti razionali spingendoli a consegnare informazioni personali.
Esempio: Falsa urgenza
"Il tratto caratteristico di un'email di phishing è l'aggiunta di qualche tipo di intervallo di tempo. Vogliono spingerti a prendere una decisione in poco tempo."
Jack Mott – Microsoft Threat Intelligence
Emozione
La manipolazione emotiva può concedere un vantaggio agli autori di cyberattacchi, poiché è più probabile che le persone compiano azioni rischiose in uno stato emotivo amplificato, soprattutto se si tratta di paura, senso di colpa o rabbia.
Esempio: Manipolazione delle emozioni
"L'esca più efficace che io abbia mai visto è stata un'email brevissima che diceva qualcosa come: siamo stati contattati da tua moglie per preparare le carte del divorzio; fai clic sul collegamento per scaricare la tua copia."
Sherrod DeGrippo – Microsoft Threat Intelligence
Abitudine
I criminali sono osservatori scrupolosi del comportamento, e dedicano particolare attenzione ai tipi di abitudini e routine che le persone fanno "con il pilota automatico", senza pensarci troppo.
Esempio: Abitudine comune
In una tecnica nota come "quishing3,"i truffatori si presentano come aziende credibili e chiedono di scansionare un codice a matrice nella loro casella di posta elettronica. È possibile ad esempio che dicano che la scansione del codice è necessaria a causa del mancato pagamento di una fattura o per ripristinare una password.
"Gli attori di minacce si adattano al ritmo delle aziende. Sono eccezionali nel distribuire esche che abbiano senso nel contesto in cui le riceviamo normalmente."
Jack Mott – Microsoft Threat Intelligence
Il limite tra l'utente tipo personale e professionale di un dipendente a volte può essere poco definito. Un dipendente può usare la propria email professionale per gli account personali che usa per lavorare. Gli attori di minacce a volte provano ad approfittarsene presentandosi sotto forma di uno di questi programmi per poter accedere alle informazioni aziendali di un dipendente.
"Nelle truffe di phishing via email, i criminali informatici controllano le loro esche per gli indirizzi e-mail aziendali. Gli indirizzi webmail personali non valgono il loro tempo. Gli indirizzi professionali sono più preziosi, quindi impiegano più risorse e concentrazione con attacchi hands-on-keyboard per personalizzare gli attacchi per quegli account."
Jack Mott – Microsoft Threat Intelligence
Il "lungo raggiro"
Gli attacchi di ingegneria sociale in genere non sono veloci. I tecnici tendono a stabilire una relazione di fiducia con le loro vittime nel tempo, usando tecniche lunghe e laboriose che iniziano dalla ricerca. Il ciclo di questo tipo di manipolazione dovrebbe essere come riportato di seguito:
- Indagine: I tecnici identificano un target e raccolgono informazioni di background, come potenziali punti di ingresso o protocolli di sicurezza.
- Penetrazione: I tecnici si concentrano su come instaurare un clima di fiducia con il target. Raccontano una storia, attirano il target e assumono il controllo dell'interazione per spingerlo a fare quello che vogliono.
- Sfruttamento: I tecnici ottengono le informazioni del target nel tempo. In genere, il target fornisce queste informazioni volentieri, e i tecnici possono usarle a proprio vantaggio per accedere a informazioni ancora più riservate.
- Fine dell'interazione: Un tecnico porrà fine all'interazione in modo naturale. Un tecnico abile lo farà senza che il target sospetti nulla
Gli attacchi BEC si distinguono nel settore del crimine informatico per la propria enfasi sull' ingegneria sociale e sull'arte dell'attività ingannevole. Gli attacchi BEC che riescono costano alle organizzazioni centinaia di milioni di dollari ogni anno. Nel 2022, l'Internet Crime Complaint Center del Federal Bureau of Investigation (FBI) ha registrato un importo adeguato di perdite superiore a 2,7 miliardi di USD per 21.832 denunce di BEC.4
I principali obiettivi degli attacchi BEC sono dirigenti e altri principali leader, manager finanziari, personale delle risorse umane con accesso alle informazioni dei dipendenti come numeri di previdenza sociale, dichiarazioni fiscali o altre informazioni personali. Vengono anche presi di mira i nuovi dipendenti, perché meno attenti a verificare le richieste di un indirizzo di posta elettronica sconosciuto.
Quasi tutte le forme di attacchi BEC sono in aumento. I tipi di attacchi di tipo BEC comuni includono:5
- Compromissione diretta dell’indirizzo di posta elettronica (DEC): gli account email compromessi sono usati per progettare con ingegneria sociale ruoli di contabilità interni o di terze parti per trasferire fondi sul conto corrente dell'utente malintenzionato o per cambiare le informazioni di pagamento di un conto esistente.
- Compromissione dell'email del fornitore (VEC): si tratta della progettazione con ingegneria sociale di una relazione con un fornitore esistente tramite l'appropriazione di un'email relativa ai pagamenti e l'imitazione dei dipendenti di un'azienda per convincere un fornitore a reindirizzare un pagamento in sospeso su un conto corrente illecito.
- Truffa con fatture false: si tratta di una truffa di ingegneria sociale di massa che sfrutta marchi popolari per convincere le aziende a pagare fatture false.
- Imitazione di rappresentanti legali: si tratta dello sfruttamento di relazioni di fiducia con grandi studi legali noti per aumentare la credibilità agli occhi di dirigenti di piccole aziende e startup, convincendoli a completare il pagamento di fatture insolute, in particolare prima di eventi importanti come offerte pubbliche iniziali. Il reindirizzamento dei pagamenti su un conto corrente illecito si verifica dopo che viene raggiunto un accordo sulle condizioni di pagamento.
Octo Tempest
Octo Tempest è un gruppo a matrice finanziaria di attori di minacce di lingua inglese conosciuti per il lancio di campagne su vasta scala che si servono di tecniche adversary-in-the-middle (AiTM), ingegneria sociale e funzionalità di scambio di SIM.
Diamond Sleet
Nell’agosto 2023, Diamond Sleet ha condotto un attacco alla catena di approvvigionamento software contro il provider di servizi software tedesco JetBrains che ha compromesso i server per la creazione dei software, il test e i processi di distribuzione. Poiché Diamond Sleet è riuscito a infiltrarsi in ambienti di compilazione in passato, Microsoft ritiene che la sua attività presenti un rischio particolarmente elevato per le organizzazioni interessate.
Sangria Tempest6
Sangria Tempest, noto anche come FIN, è conosciuto per i suoi attacchi nel settore della ristorazione, che sottraggono i dati delle carte di credito. Una delle sue esche più efficaci include un'accusa di intossicazione alimentare, i cui dettagli possono essere visualizzati aprendo un allegato dannoso.
Gli hacker di Sangria Tempest, soprattutto dell'Europa orientale, hanno usato forum underground per reclutare madrelingua inglesi addestrati su come chiamare i negozi nella consegna dell'esca via email. Il gruppo ha rubato decine di milioni di dati di carte di credito in questo modo.
Midnight Blizzard
Midnight Blizzard è un attore di minacce con sede in Russia noto perché colpisce principalmente enti pubblici, entità diplomatiche, organizzazioni non governative (ONG) e provider di servizi IT soprattutto negli Stati Uniti e in Europa.
Midnight Blizzard sfrutta i messaggi di Teams per inviare esche che tentano di rubare credenziali da un'organizzazione target, coinvolgendo un utente e ottenendo l'approvazione di richieste dell'autenticazione a più fattori (MFA).
Lo sapevi?
La strategia di denominazione degli attori di minacce di Microsoft è passata a una nuova tassonomia per gli attori di minacce traendo ispirazione da temi legati al clima.
Anche se gli attacchi di ingegneria sociale possono essere sofisticati, esiste una serie di cose da fare per prevenirli.7 Con un approccio intelligente a privacy e sicurezza, è possibile sconfiggere gli utenti malintenzionati al loro stesso gioco.
Per prima cosa, invita gli utenti a non utilizzare gli account personali per messaggi di lavoro o relativi ad attività professionali.
Assicurati inoltre di applicare la MFA. I tecnici dell'ingegneria sociale cercano di solito informazioni come le credenziali di accesso. Abilitando la MFA, anche con il nome di un utente e la sua password, un utente malintenzionato non potrà accedere all’account e alle informazioni personali.8
Non aprire messaggi di posta elettronica o allegati di origine sconosciuta. Se un amico ti invia un collegamento che devi selezionare con una certa urgenza, verifica direttamente con lui che ti abbia inviato quel messaggio. Fermati e chiediti se il mittente è chi dice di essere prima di fare clic su qualsiasi cosa.
Fermati e verifica
Non fidarti delle offerte che sono troppo belle per essere vere. Non puoi vincere una lotteria alla quale non hai partecipato, e nessun reale straniero ha intenzione di lasciarti un grande importo di denaro. Se sembra troppo allettante, fai una rapida ricerca per stabilire se l'offerta è legittima o se si tratta di una trappola.
Non condividere troppo online. I tecnici di ingegneria sociale hanno bisogno della fiducia dei loro target per far funzionare le loro truffe. Se trovano i tuoi dati personali dai tuoi profili sui social media, possono usarli per far sembrare le loro truffe più legittime.
Proteggi computer e dispositivi. Usa software antivirus, firewall e filtri dell'email. Se una minaccia riuscisse a infiltrarsi nel tuo dispositivo, le tue informazioni saranno protette.
"Quando ricevi un'email o una chiamata discutibile, la soluzione è solo fermarsi e verificare. Le persone commettono errori quando fanno le cose troppo velocemente, quindi è importante ricordare ai dipendenti che non devono reagire tempestivamente in situazioni di questo tipo."
Jack Mott – Microsoft Threat Intelligence
Scopri di più su come proteggere la tua organizzazione guardando Il rischio della fiducia: minacce di ingegneria sociale e difesa informatica.
- [2]Il contenuto in questa sezione è tratto da https://go.microsoft.com/fwlink/?linkid=2263229
- [6]Waymon Ho, Around 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]Nota: contenuto tratto da https://go.microsoft.com/fwlink/?linkid=2263229
Articoli correlati
Consigli dell'esperto sulle tre sfide più costanti nell'ambito della cybersecurity
Justin Turner, Principal Group Manager presso Microsoft Security Research, descrive le tre sfide che ha sempre dovuto affrontare nel corso della sua carriera nella cybersecurity: gestione della configurazione, applicazione di patch e visibilità dei dispositivi
Il Cybercrime-as-a-Service (CaaS) causa il 38% di aumento delle frodi relative alla posta elettronica aziendale
La compromissione della posta elettronica aziendale (BEC) è in crescita oggi che i criminali informatici possono oscurare l'origine dei propri attacchi per essere ancora più efferati. Scopri di più su CaaS e come può aiutarti a proteggere la tua organizzazione.
Microsoft, Amazon e le forze dell'ordine internazionali si sono unite per combattere le frodi nel supporto tecnico
Scopri come Microsoft e Amazon hanno unito le forze per la prima volta in assoluto per eliminare i call center di supporto tecnico illegali in India.
Segui Microsoft Security