I pericoli per gli utenti Mac non arrivano solo da virus, ransomware e siti con malware da cui abbiamo messo in guardia molte volte, con l’ingegneria sociale, gli hacker sfruttano gli errori umani e sempre più spesso riescono ad ottenere l’accesso a informazioni riservate.
Secondo il 75% dei professionisti della sicurezza, questa è la minaccia “più pericolosa” del momento, e le PMI hanno il 350% di probabilità in più di subire questi attacchi perchè i dipendenti non hanno una formazione specifica per difendersi.
Come funziona il social engineering?
L’ingegneria sociale funziona sfruttando i bias (pregiudizi) cognitivi delle persone.
L’hacker si presenta come una persona o azienda affidabile o autorevole e induce la vittima a fidarsi di lui, chi cade nel tranello viene quindi manipolato per consegnare informazioni private come password, numeri di carta di credito, abitudini personali e molto altro, spesso senza esserne consapevole fino quando non è troppo tardi.
Molte aziende, anche di grandi dimensioni, sono vittime di social engineering ogni giorno.
Quali sono le tattiche di attacco più usate?
Phishing: le comunicazioni via mail sembrano provenire da una fonte affidabile, ma sono progettate per indurre le vittime a fornire informazioni importanti. Gli hacker creano e-mail con la grafica, il logo e il gergo appropriati dell’azienda per farla sembrare il più possibile autentica alla vittima e includono link all’interno che chi legge la mail deve cliccare per ottenere ulteriori informazioni.
Baiting: L’adescamento consiste nell’offrire qualcosa a un utente per suscitare il suo interesse.
Di solito si verificano due forme di adescamento: il phishing e l’adescamento fisico. Nel phishing, l’adescamento avviene solitamente sotto forma di promessa, come un premio da vincere inviato all’e-mail dell’utente. “Clicca su questo link per richiedere il tuo premio!”.
Nel baiting fisico, l’ingegnere sociale di solito lascia una chiavetta o uno stick USB che invoglia l’utente a collegarlo al computer con l’intento di infettare il computer con un malware.
I dipendenti dell’azienda potrebbero essere incuriositi dalla chiavetta tanto da vedere cosa contiene.
Vishing: noto anche come “phishing vocale”, questo è il caso in cui un numero telefonico
è falsificato in modo da sembrare legittimo e sembra provenire da personale IT, colleghi di lavoro o dalla banca.
Smishing: sono messaggi SMS o Whatsapp che sollecitano le vittime a cliccare link malevoli da o chiamare numeri di telefono a pagamento.
Pretexting: Nel pretexting l’hacker di solito racconta una storia che spinge l’utente ad agire sfruttando la sua fiducia o il legame emotivo che si prova leggendola.
L’ingegnere sociale invia un’e-mail sotto le spoglie di un amico fidato, di un collega o di un’organizzazione, che di solito presenta un problema da risolvere che riguarda un amico o potrebbe anche richiedere una donazione per una particolare causa. L’e-mail di solito include un link a un portale in cui è possibile inserire informazioni da sottrarre all’utente.
Tipi di ingegneria sociale, non ci sono solo gli hacker
Oltre ai malintenzionati, hacker e ladri d’identità che usano l’ingegneria sociale per manipolare le persone per ottenere i loro dati personali, ci sono anche professionisti delle vendite, reclutatori, forze dell’ordine, governi e professionisti della sicurezza che usano l’ingegneria sociale.
Potrebbero utilizzare le stesse tattiche, ma in circostanze legali, si tratta di professionisti che cercano di raccogliere informazioni per creare risultati per i loro clienti, organizzazioni o addirittura per apparati dello Stato.
Come possiamo proteggerci
Il modo migliore per prevenire gli attacchi di ingegneria sociale è capire come individuarli, usando un misto di esperienza, conoscenza e buon senso, e se non si è sicuri della provenienza degli interlocutori non cliccare o inserire dati sensibili.
Prestare attenzione: Assicuratevi di leggere bene il mittente di tutte le e-mail. Anche se sembra che stiate ricevendo un’e-mail da un amico o da un collega, potrebbe non essere come sembra. Verificate che l’e-mail provenga da una fonte affidabile.
Attenzione al dirottamento delle e-mail: Anche se l’e-mail proviene da una fonte attendibile, potrebbe trattarsi di un ingegnere sociale che vi ha inviato un contatto di phishing come esca.
Non cliccate sui link contenuti nell’e-mail. Passate invece il mouse sul link e assicuratevi che il collegamento vi reindirizzi dove dice di andare. Potete anche utilizzare un motore di ricerca per cercare eventuali link che sembrano strani.
Chiedete conferma, quando possibile, se non siete sicuri che il contatto provenga da una fonte affidabile, chiedete una prova: “Mi hai mandato tu quel link stamattina?”.
Proteggete i vostri dispositivi: Assicuratevi che sui dispositivi aziendali siano installati i più recenti antivirus e antimalware. Utilizzate una corretta gestione delle password e degli accessi utente per tutti i dispositivi e gli account dei dispositivi.
Ecco le migliori e più semplici pratiche di sicurezza necessarie per proteggere i dispositivi macOS:
- Utilizzare l’autenticazione a più fattori e non solo la password semplice
- Impegnarsi nella creazione di password più forti ad esempio brevi frasi
- Utilizzare un software di sicurezza affidabile con difese anti-phishing
- Rivedere le impostazioni delle e-mail e rafforzare i filtri antispam
- Per le imprese implementare la formazione dei dipendenti per identificare ed evitare gli attacchi
