Indietro
Formazione Cybersecurity per Aziende | MetaCompliance

Prodotti

Scoprite la nostra suite di soluzioni di Security Awareness Training personalizzate, progettate per potenziare e formare il vostro team contro le moderne minacce informatiche. Dalla gestione delle policy alle simulazioni di phishing, la nostra piattaforma fornisce alla vostra forza lavoro le conoscenze e le competenze necessarie per salvaguardare la vostra organizzazione.

Cybersecurity eLearning

Cyber Security eLearning per esplorare la nostra premiata biblioteca eLearning, su misura per ogni dipartimento

Automazione della consapevolezza della sicurezza

Programmate la vostra campagna di sensibilizzazione annuale in pochi clic

Simulazione di phishing

Fermate gli attacchi di phishing sul nascere con il pluripremiato software per il phishing

Gestione delle politiche

Centralizzare le politiche in un unico luogo e gestire senza problemi i cicli di vita delle politiche

Gestione della privacy

Controllo, monitoraggio e gestione della conformità in modo semplice

Gestione degli incidenti

Assumere il controllo degli incidenti interni e rimediare a ciò che è importante

Indietro
Industria

Industrie

Scoprite la versatilità delle nostre soluzioni in diversi settori. Dal dinamico settore tecnologico a quello sanitario, scoprite come le nostre soluzioni si stanno affermando in diversi settori. 


Formazione in cybersicurezza per i servizi finanziari

Creare una prima linea di difesa per le organizzazioni di servizi finanziari

Governi

Una soluzione di sensibilizzazione alla sicurezza per le amministrazioni pubbliche

Formazione in cybersicurezza per le aziende

Una soluzione di formazione sulla consapevolezza della sicurezza per le grandi imprese

Formazione in cybersecurity per il lavoro smart

Incorporare una cultura di consapevolezza della sicurezza, anche in casa

Cybersecurity training per il settore dell'istruzione

Formazione coinvolgente sulla consapevolezza della sicurezza per il settore dell'istruzione

Formazione cybersecurity per gli operatori sanitari

Scoprite la nostra sensibilizzazione alla sicurezza su misura per gli operatori sanitari

Formazione cybersicurezza per il settore tecnologico

Trasformare la formazione sulla consapevolezza della sicurezza nel settore tecnologico

Conformità NIS2

Sostenete i vostri requisiti di conformità Nis2 con iniziative di sensibilizzazione sulla sicurezza informatica

Indietro
Risorse

Risorse

Dai poster alle politiche, dalle guide definitive ai casi di studio, le nostre risorse gratuite per la sensibilizzazione possono essere utilizzate per migliorare la consapevolezza della sicurezza informatica all'interno della vostra organizzazione.

Consapevolezza della sicurezza informatica per i manichini

Una risorsa indispensabile per creare una cultura della consapevolezza informatica

Guida Dummies alla sicurezza informatica Elearning

La guida definitiva all'implementazione di un efficace Elearning sulla sicurezza informatica

Guida definitiva al phishing

Istruire i dipendenti su come individuare e prevenire gli attacchi di phishing

Poster di sensibilizzazione gratuiti

Scarica questi poster gratuiti per migliorare la vigilanza dei dipendenti

Politica anti-phishing

Creare una cultura consapevole della sicurezza e promuovere la consapevolezza delle minacce alla sicurezza informatica

Casi di studio

Scoprite come aiutiamo i nostri clienti a promuovere comportamenti positivi nelle loro organizzazioni

Terminologia di sicurezza informatica dalla A alla Z

Un glossario dei termini indispensabili per la sicurezza informatica

Modello di maturità comportamentale per la sicurezza informatica

Verificate la vostra formazione di sensibilizzazione e fate un benchmark della vostra organizzazione rispetto alle migliori pratiche

Roba gratis

Scaricate i nostri asset di sensibilizzazione gratuiti per migliorare la consapevolezza della sicurezza informatica nella vostra organizzazione

Indietro
MetaCompliance | Formazione Cybersicurezza per Aziende

Informazioni su

Con oltre 18 anni di esperienza nel mercato della Cyber Security e della Compliance, MetaCompliance offre una soluzione innovativa per la sensibilizzazione del personale alla sicurezza informatica e l'automazione della gestione degli incidenti. La piattaforma MetaCompliance è stata creata per soddisfare le esigenze dei clienti di un'unica soluzione completa per la gestione dei rischi legati alla sicurezza informatica, alla protezione dei dati e alla conformità.

Perché scegliere noi

Scoprite perché Metacompliance è il partner di fiducia per la formazione sulla consapevolezza della sicurezza

Specialisti del coinvolgimento dei dipendenti

Rendiamo più semplice il coinvolgimento dei dipendenti e la creazione di una cultura di consapevolezza informatica

Automazione della consapevolezza della sicurezza

Automatizzare facilmente la formazione di sensibilizzazione alla sicurezza, il phishing e le politiche in pochi minuti

MetaBlog

Rimani informato sui temi della formazione sulla consapevolezza informatica e attenua il rischio nella tua organizzazione.

Attacchi di ingegneria sociale: 5 esempi significativi di social engineering

Social engineering: 5 esempi di attacchi di ingegneria sociale

sull'autore

Condividi questo post

Scopri cinque famosi esempi di attacchi di social engineering (ingegneria sociale) e come queste strategie ingannino le persone. Gli esseri umani sono fondamentalmente sociali, appassionati di interazioni, comunicazione, lavoro e attività condivise. Questo spirito collaborativo, basato sulla fiducia, agevola la cooperazione e la convivenza all'interno dei gruppi umani.

Tuttavia, queste stesse caratteristiche sociali sono sfruttate anche dai criminali informatici che mirano a causare danni. Gli attacchi di ingegneria sociale sfruttano queste vulnerabilità, utilizzando inganni e impersonificazioni per manipolare le persone affinché compiano azioni a vantaggio del truffatore.

Lo conferma il Verizon Data Breach Investigations Report (DBIR) del 2023, secondo cui l'82% delle violazioni coinvolge un elemento umano.

Ecco come avvengono gli attacchi di social engineering e cosa potete fare per evitare che il vostro personale venga socializzato.

Come avvengono gli attacchi di social engineering?

Secondo un recente rapporto, un'organizzazione media subisce 700 attacchi di social engineering all'anno. Gli attacchi di social engineering si presentano in molte forme e si evolvono in nuove per eludere il rilevamento.

Lo scopo di un attacco di social engineering è quello di indurre qualcuno a fare qualcosa che vada a vantaggio di un criminale informatico. Ad esempio, ingannare una persona per farle rivelare dettagli finanziari che verranno poi utilizzati per compiere una frode.

L'ingegneria sociale non viene eseguita solo con metodi digitali. Gli ingegneri sociali ricorrono a qualsiasi tattica per costruire le strutture necessarie a ingannare le persone. Ad esempio, possono usare il telefono o entrare in un ufficio e chiacchierare con il personale.

I trucchi di ingegneria sociale attualmente preferiti includono:

Pretexting e pedinamento: gli aggressori fingono di essere un collega o una persona autorevole, ad esempio un agente di polizia. Utilizzeranno questa veste per stabilire un rapporto di fiducia con l'obiettivo tramite un metodo digitale, il telefono o di persona. Una volta stabilita la fiducia, il truffatore cercherà di estrarre informazioni, come dati personali o dettagli finanziari.

Inoltre, i "tailgator" spesso effettuano attacchi fisici alle aziende, trovando il modo di entrare in un edificio, passando inosservati o addirittura invitati. Una volta all'interno dell'edificio, possono utilizzare strumenti facilmente reperibili, come l'USB RubberDucky utilizzata dai penetration tester legittimi, per rubare i dati, comprese le credenziali di accesso.

Phishing: il phishing si presenta in vari modi, tra cui e-mail, telefonate, post sui social media e messaggi di testo. I messaggi di attacco di phishing racchiudono tattiche di ingegneria sociale, utilizzando la finzione, la fiducia e la voglia di cliccare per incoraggiare i destinatari a divulgare informazioni personali, come password e dati della carta di credito.

Uno studio del governo britannico sulla sicurezza informatica ha rilevato che la stragrande maggioranza (83%) delle aziende che hanno individuato un attacco informatico ha dichiarato che il phishing è stato il vettore principale dell'attacco.

Lo spearphishing è la forma mirata di phishing che porta l'ingegneria sociale ai massimi livelli di successo. Le e-mail di spearphishing sono difficili da distinguere da quelle legittime perché i truffatori fanno di tutto per farle sembrare realistiche, spesso instaurando rapporti di fiducia con il loro obiettivo. Secondo il DBIR 2018, lo spearphishing è alla base del 93% degli attacchi informatici.

Baiting: questo attacco di social engineering utilizza l'allettamento o la paura di perdere l'occasione (FOMO) per incoraggiare determinati comportamenti. Ad esempio, a un dipendente possono essere offerti omaggi se fornisce informazioni personali o aziendali o password.

Perché gli attacchi di social engineering sono efficaci?

Gli esseri umani si sono evoluti per agire e comportarsi in determinati modi per stabilire strutture sociali forti e coese. Elementi come la fiducia sono componenti vitali di società coerenti. Senza fiducia, le relazioni falliscono.

I truffatori comprendono il comportamento umano e la necessità di costruire relazioni di fiducia. Capiscono anche come manipolare le persone fingendo di essere una persona fidata o costruendo fiducia.

Anche altri comportamenti umani, come l'impulso a fare un buon lavoro, a non finire nei guai o a non perdere una buona occasione, vengono sfruttati dai criminali informatici. Tutte queste azioni naturali che compiamo quotidianamente nella nostra vita domestica e lavorativa possono essere sfruttate dai criminali informatici che intendono rubare dati e accedere alle reti per compiere azioni dannose.

Social engineering: 5 famosi esempi di attacchi di ingegneria sociale

Gli esempi di ingegneria sociale vengono regolarmente pubblicati dalla stampa, ma qui di seguito ve ne presentiamo cinque per darvi un'idea di come funziona l'ingegneria sociale:

Marriott Hotel: un gruppo di hacker ha utilizzato tattiche di social engineering per rubare 20 GB di dati personali e finanziari da un Marriott Hotel. Gli hacker hanno ingannato un collaboratore del Marriott Hotel e gli hanno permesso di accedere al suo computer.

Dipartimento del Lavoro degli Stati Uniti (DoL): si trattava di un attacco socialmente ingegnerizzato per rubare le credenziali di accesso a Office 365. L'attacco si è avvalso di un sofisticato phishing basato su domini abilmente spoofati che sembravano proprio il dominio legittimo del DoL. Le e-mail sembravano provenire da un dipendente senior del Ministero della Difesa che lo invitava a presentare un'offerta per un progetto governativo. Facendo clic sul pulsante dell'offerta, il dipendente veniva indirizzato a un sito di phishing utilizzato per rubare le credenziali.

Utenti di Zoom: una campagna di phishing rivolta ai dipendenti ha colpito almeno 50.000 utenti. Gli ingegneri sociali hanno sfruttato la paura di un licenziamento per incoraggiare i dipendenti a cliccare su un link per incontrarsi con le risorse umane tramite Zoom. Cliccando sul link, il dipendente veniva portato su un falso sito di login di Zoom, progettato per rubare le password.

FACC (produttore austriaco di aeromobili): FACC ha perso circa 42 milioni di euro quando è stata vittima di una sofisticata truffa BEC (Business Email Compromise). L'amministratore delegato dell'azienda ha subito lo spoofing del proprio account di posta elettronica, che è stato poi utilizzato per inviare una richiesta "urgente" di trasferimento di fondi. Questa e-mail ha ingannato un impiegato addetto al pagamento che ha accolto la richiesta, versando il denaro sul conto del truffatore.

Richiamo di Crowdstrike: anche i fornitori di sicurezza sentono la forza dell'ingegneria sociale. Crowdstrike è diventata una pedina inconsapevole nel gioco dell'ingegnere sociale. I truffatori utilizzano il marchio di fiducia di Crowdstrike e di altri fornitori di sicurezza per inviare e-mail di phishing ai dipendenti. L'e-mail contiene i dettagli di una possibile infezione da malware e un numero di telefono da chiamare per rimuovere il malware installato. Se il dipendente raggiunge il numero, viene ingannato per consentire all'aggressore di accedere al suo computer.

Come proteggersi dagli attacchi di social engineering

L'ingegneria sociale ha successo perché la tecnica manipola le nostre azioni quotidiane. Questo rende difficile per i dipendenti accorgersi di essere parte di un attacco di social engineering.

L'ingegneria sociale deve far parte della conversazione sulla consapevolezza della sicurezza e le politiche di sicurezza devono rifletterlo. Tuttavia, esistono modi pratici per garantire che i dipendenti siano aggiornati sui trucchi dei truffatori di social engineering:

Fate in modo che il social engineering faccia parte della vostra cultura della sicurezza:

  1. Coinvolgere il personale in aggiornamenti regolari sull'ingegneria sociale e sul suo funzionamento.
  2. Assicuratevi che l'ingegneria sociale faccia parte della vostra regolare formazione sulla sicurezza.
  3. Includete l'ingegneria sociale nei manifesti del mese della consapevolezza della sicurezza e inviate newsletter al personale sui problemi causati dall'ingegneria sociale.

Implementare simulazioni di phishing: utilizzare una piattaforma avanzata di simulazione di phishing per formare il personale sull'aspetto delle e-mail di phishing e per testare la loro risposta a un'e-mail di phishing. Adattate queste e-mail ai diversi ruoli della vostra organizzazione e basate le simulazioni sulle tattiche note utilizzate dai truffatori.

Test di penetrazione dell'azienda e del personale: allestite vari scenari di test per vedere come il personale risponde ai potenziali tentativi di social engineering. Questo può includere test per vedere quanto sia facile (o difficile) entrare nell'edificio.

Inoltre, testate il personale e la sua risposta a persone sconosciute. Ad esempio, fate passare i tester per addetti alle pulizie o appaltatori e vedete fino a che punto riescono a estrarre informazioni sulla vostra azienda o a chiedere l'accesso a un computer.

Attacchi di ingegneria sociale: 5 esempi significativi di social engineering
phishing francese img

Cyber Security Awareness Training – Altri articoli che potresti trovare interessanti