Ingegneria Sociale

Le neuroscienze e l'ingegneria sociale si intersecano in vari modi, soprattutto nell'ambito della sicurezza informatica e della comprensione del comportamento umano. Le neuroscienze forniscono una base scientifica per comprendere come il cervello umano elabora le informazioni, prende decisioni e reagisce agli stimoli esterni. Questa comprensione può essere utilizzata nell'ingegneria sociale per influenzare il comportamento umano, ad esempio progettando strategie di persuasione o manipolazione. Inoltre, le neuroscienze forniscono insight su come funzionano i meccanismi di persuasione nel cervello umano, che possono essere applicati nell'ingegneria sociale per creare strategie di persuasione più efficaci, come nel marketing o nella pubblicità. In ambito di sicurezza informatica, l'ingegneria sociale si riferisce alla manipolazione psicologica delle persone per ottenere informazioni riservate o accedere a sistemi informatici. Non esiste solo il lato negativo e quindi gli attacchi, per fortuna. Le neuroscienze possono essere utilizzate per comprendere meglio le vulnerabilità cognitive degli individui e sviluppare strategie di difesa più efficaci contro gli attacchi di ingegneria sociale. Possono anche influenzare lo sviluppo di interfacce uomo-macchina più intuitive e user-friendly, poiché la comprensione di come il cervello elabora le informazioni visive, uditive e tattili può aiutare a progettare interfacce più efficaci e facili da usare.

Il caso Twitter (quando ancora si chiamava così)

Uno dei casi più noti di incidente di sicurezza informatica riuscito grazie all'ingegneria sociale è quello dell'attacco a Twitter avvenuto nel luglio 2020. Questo attacco ha evidenziato come tecniche di ingegneria sociale possono essere estremamente efficaci nel compromettere anche le piattaforme tecnologiche più avanzate. Gli attaccanti hanno utilizzato tattiche di ingegneria sociale per manipolare i dipendenti di Twitter, convincendoli a fornire le loro credenziali di accesso. Hanno contattato i dipendenti, fingendosi parte del team IT interno, e li hanno persuasi a rivelare informazioni sensibili o a cliccare su link malevoli. In alcuni casi, hanno addirittura chiamato i dipendenti, utilizzando tecniche di pretexting ovvero hanno creato un falso scenario che poteva tranquillamente essere vero per guadagnare la loro fiducia.

Una volta ottenuto l'accesso ai sistemi interni di Twitter, gli hacker sono riusciti a prendere il controllo di numerosi account di alto profilo, tra cui quelli di Elon Musk, Barack Obama, Bill Gates e Jeff Bezos. Utilizzando questi account compromessi, hanno pubblicato messaggi fraudolenti, chiedendo ai follower di inviare Bitcoin a un indirizzo specifico, promettendo di restituire il doppio dell'importo inviato. Questo schema di "doppio ritorno" ha attirato molte vittime, che hanno inviato circa 100.000 dollari in Bitcoin agli hacker. L'attacco ha messo in luce la vulnerabilità delle piattaforme di social media alle tecniche di ingegneria sociale e ha evidenziato la necessità di migliorare la formazione e la consapevolezza dei dipendenti riguardo alle minacce di sicurezza informatica. Twitter ha risposto rapidamente all'incidente, bloccando temporaneamente gli account compromessi e avviando un'indagine interna per capire come gli hacker fossero riusciti a ottenere l'accesso. L'azienda ha anche implementato misure di sicurezza più rigorose per prevenire futuri attacchi, inclusa una maggiore formazione dei dipendenti sulla sicurezza informatica e il rafforzamento dei protocolli di autenticazione. Questo incidente ha dimostrato che, nonostante i sofisticati sistemi di sicurezza, l'anello debole spesso rimane l'elemento umano.

Avevate dubbi?

Gli attacchi di ingegneria sociale sfruttano la fiducia e la buona fede delle persone, mostrando quanto sia importante essere vigili e critici e paranoici riguardo a richieste inusuali o sospette, anche e soprattutto se sembrano provenire da fonti apparentemente legittime.

Consigli non richiesti per tutelarsi

  • Se vi scrive qualcuno su WhatsApp chiedendovi di fare assolutamente e urgentemente qualcosa da un numero che non è solito usare, come verifichi che sia un possibile attacco?

    • Chiamandolo al numero solito che usa - avete presente l’attacco che gira ultimamente “mamma ho perso il cellulare scrivimi a questo numero” (qui un articolo)

    • Scrivendo una mail se non avevi il numero e/o verificando se è vero attraverso un’altra persona - tipo: se ti scrive “il CEO” magari prima un passaggio col tuo manager fallo

  • Se qualcuno ti chiama e sei già dubbioso in partenza, tieni a mente che quella telefonata e potrebbe essere utilizzata per duplicare la tua voce. Sempre per la rubrica “diventerò paranoica” io non dico mai “Sì” quando qualcuno che conosco mi chiama. Tipo “Buongiorno, parlo con Marilisa” - risposta “Con chi parlo?”

  • NON CLICCARE LINK SE NON SEI CERTO DI COSA SIA. NEL DUBBIO NON CLICCARE.

  • Con l’intelligenza artificiale sarà davvero difficile tutelarsi e capire se qualcuno sta mentendo, tuttavia mica diciamo tutto su internet. Giusto? Questo per me è un consiglio sempre valido. Se qualcuno ti scrive dicendo che è qualcunaltro, chiedi a quella persona (ammesso che sia una persona...) qualcosa che solo la persona vera sa. Nell’esempio di “mamma ho perso il cellulare” se per sbaglio clicchi sul link e quindi si apre la conversazione WhatsApp, potrebbe aver senso rievocare aneddoti: se sei davvero mia figlia, sei mai andata all’oratorio estivo? Come si chiamava quel tuo amico scemo? etc etc etc

tecniche di Ingegneria Sociale

Le tecniche di ingegneria sociale sono molteplici e possono variare in complessità e sofisticazione. Mi dispiace per i più smanettoni cacciavitari che si beccheranno un elenco di cose che sanno, tuttavia la teoria è importante soprattutto per prevedere come gli attaccanti attaccheranno, se utilizzano lo stesso pattern. Per fortuna non siamo macchine e quindi un ripassone a volte è necessario. Vorrei precisare una cosa e cioè che la vulnerabilità che si colpisce nel caso dell’ingegneria sociale è sempre quella umana, che se viene sfruttata poi permette di portare a termine l’attacco a volte a prescindere dalla sicurezza del sistema. E questo va tenuto bene a mente. Come preannunciato, questo è un elenco nudo e crudo delle principali tecniche utilizzate per manipolare* le persone e ottenere informazioni o accesso a sistemi protetti:

1. Phishing: invio di email fraudolente generiche che sembrano provenire da fonti affidabili per indurre le vittime a rivelare informazioni personali, come credenziali o dati bancari.

2. Spear Phishing: è un phishing targettizzato, prende di mira un individuo o un'organizzazione, utilizzando informazioni personalizzate per aumentare la credibilità dell'email.

3. Vishing: chiamate telefoniche per ingannare le vittime affinché forniscano informazioni sensibili, fingendo di essere banche, servizio di assistenza tecnica, etc

4. Smishing: simile al phishing, ma utilizzando messaggi di testo (SMS) per indurre le vittime a cliccare su link malevoli o a divulgare informazioni personali.

5. Pretexting: creazione di uno scenario falso per ingannare la vittima e convincerla a rivelare informazioni riservate, impersonificando persone non esistenti (e.g. tecnico IT)

6. Baiting: offerta di qualcosa di desiderabile, come un download gratuito o un premio, per indurre le vittime a fornire informazioni personali o a scaricare malware.

7. Tailgating (o Piggybacking): tecnica fisica in cui un aggressore segue una persona autorizzata per entrare in una zona protetta senza avere le credenziali necessarie.

8. Quid Pro Quo: promessa di un beneficio in cambio di informazioni o accesso. Ad esempio, un attaccante potrebbe offrire un servizio gratuito in cambio di una password.

9. Impersonation: fingere di essere una persona reale, spesso qualcuno di fiducia o un'autorità (e.g. CEO), per ottenere informazioni o accesso a sistemi protetti.

10. Dumpster Diving: raccolta di informazioni sensibili da rifiuti o cestini della spazzatura, come documenti cartacei, hardware scartato o note adesive con password.

11. Watering Hole: compromissione di siti web che le vittime visitano regolarmente, infettandoli con malware per ottenere accesso ai loro dispositivi o informazioni.

12. Reverse Social Engineering: tecnica in cui l’attaccante crea un problema e poi si presenta come la soluzione, inducendo la vittima a contattarlo ottenendo così informazioni.

13. Shoulder Surfing: osservazione diretta delle azioni della vittima, come digitare una password o inserire un codice PIN, per raccogliere informazioni senza il loro consenso.

14. Honey Trap: utilizzo di una persona attraente per attirare la vittima e ottenere informazioni personali o aziendali.

15. Scareware: software dannoso che induce le vittime a credere che il loro computer sia infetto da un virus, spingendole a installare software falso e/o rivelare informazioni.

16. Rogue Security Software: programmi che fingono di essere soluzioni di sicurezza legittime ma in realtà compromettono il sistema o raccolgono informazioni sensibili.

Reminder: ogni tecnica può essere utilizzata singolarmente o combinata con altre per aumentare l'efficacia dell'attacco.
La difesa migliore per queste tecniche è la consapevolezza e l'educazione continua sui metodi di ingegneria sociale e sulle pratiche di sicurezza.

che palle sto phishing

〰️

che palle sto phishing 〰️

Un po’ come i medici di base che studiano duecento anni per poi aver a che fare con ipocondriaci ed in generale con mediamente persone che non hanno problemi seri di salute (altrimenti non si spiegherebbe come un singolo medico possa stare dietro a 2000 pazienti), noi esperti di sicurezza informatica siamo virologi digitali che combattono virus e altre forme di cose nel mondo digitale (e non solo). diciamo che il phishing è come l’influenza: colpisce tutti, nessuno ammette di aver preso vento mentre era sudato e per questo ora starnutisce - allo stesso modo nessuno dirà che ha cliccato su questi benedetti link e nel caso in cui l’abbia fatto lui non c’entra niente e l’ha fatto per sbaglio.

Io odio perdere tempo, motivo per cui non spiegherò la rava e la fava di quello che è successo negli ultimi anni, piuttosto, vi lascio il link dell’ACN - l’agenzia nazionale per la sicurezza informatica - che tra le tante cose pubblica i bollettini sul phishing, trovate qui

come faccio a sapere se il link di prima è sicuro?

Un modo semplice, veloce e indolore è quello di fare tasto destro sul link, copiarlo ed incollarlo in un servizio di link checker come può essere VirusTotal.