Secondo una ricerca di Beaming, nel 2021 le aziende britanniche hanno dovuto affrontare un tentativo di violazione dei dati ogni 47 secondi. Il rapporto continua a sottolineare che il lavoro a distanza è stato un'opportunità per intensificare gli attacchi informatici. Questo è notevole, in quanto secondo il Verizon Data Breach Investigation Report (DBIR) del 2021, l'85% delle violazioni di dati ha bisogno di un essere umano per avviarle.
Questa tempesta perfetta è stata scatenata dall'ingegneria sociale; questa tattica copre una vasta gamma di attività che manipolano il comportamento umano. I criminali informatici useranno letteralmente ogni angolo possibile per sfruttare i dipendenti, utilizzando noti trucchi psicologici per farci cliccare prima di pensare o scaricare malware.
Un recente rapporto mostra che gli attacchi informatici basati sull'ingegneria sociale sono aumentati del 270% nel 2021. Ci sono diverse ragioni per questo, ma la linea di fondo è che le tecniche di ingegneria sociale funzionano e dobbiamo trovare modi per proteggere i nostri dipendenti.
Un modo per impedire agli ingegneri sociali di manipolare il nostro personale, e alla fine i nostri dati e le reti aziendali, è capire come funzionano gli attacchi di ingegneria sociale.
Ecco alcuni degli ultimi tipi di attacchi di ingegneria sociale a cui fare attenzione.
Ingegneria sociale e sicurezza informatica
Le minacce alla sicurezza informatica sono raramente di natura puramente tecnica. Invece, i criminali informatici hanno capito rapidamente che utilizzare i dipendenti, i non dipendenti e il più ampio ecosistema di fornitori per realizzare i loro desideri nefasti, è un buon modo per entrare in una rete protetta.
Unarecente ricerca sull'uso delle e-mail aziendali per avviare un attacco informatico ha scoperto che nel 30% delle organizzazioni, oltre il 50% dei link ricevuti via e-mail sono finiti su un sito web dannoso. Questa è una valanga di punti di ingresso dannosi in un sistema aziendale e nelle sue operazioni di business.
Gli attacchi di ingegneria sociale usano tattiche comuni che funzionano, di volta in volta. Ma gli hacker possono variare queste tattiche in base agli eventi. La pandemia di Covid-19 è stato uno di questi eventi.
Alcuni dei probabili attacchi di ingegneria sociale a cui fare attenzione l'anno prossimo sono:
Compromissione delle e-mail aziendali (e compromissione delle e-mail dei fornitori)
Il Verizon Data Breach Investigation Report (DBIR) del 2021 ha notato che il Business Email Compromise (BEC) era la seconda forma più comune di attacchi di ingegneria sociale. BEC e VEC rappresentano l'ingegneria sociale nella sua forma più intricata e in più parti.
I truffatori BEC usano la sorveglianza per capire il loro obiettivo per creare email su misura, dall'aspetto legittimo, ma con spoofing. Spesso un attacco BEC inizia con un account e-mail compromesso. Questo dà ai truffatori le informazioni necessarie per eseguire trucchi sofisticati.
Gli account e le password compromessi possono anche essere reindirizzati per permettere all'hacker di sorvegliare le operazioni e le comunicazioni dell'azienda per raccogliere tutte le informazioni necessarie per manipolare i dipendenti a creare nuove fatture o a modificare quelle esistenti per inviare denaro aziendale al truffatore.
Il 2021 Business Email Security Landscape Report fornisce alcuni spunti importanti per aiutare a mitigare il successo di questi tipi di attacchi:
- Il 72% degli intervistati ha subito un attacco BEC negli ultimi 12 mesi.
- Quasi il 50% degli attacchi BEC utilizza un'identità falsificata presentata nella visualizzazione del nome dell'e-mail.
- Le email di Spear phishing prendono di mira gli individui che hanno il potere di muovere denaro. Queste email di phishing mirate usano nomi di aziende (68%), nomi di singoli obiettivi (66%), e il nome di capi/dirigenti (53%) per personalizzare l'attacco.
Una nuova variante di BEC è Vendor Email Compromise (VEC). Questo tipo di BEC si concentra sui venditori per deviare il denaro. Gli attacchi VEC utilizzano un effetto a catena, con il phishing che si propaga attraverso l'intero ecosistema dei venditori se non viene controllato.
Gli attacchi VEC sono tipicamente portati avanti da criminali informatici professionisti ben finanziati, poiché comportano una sorveglianza e una ricognizione approfondita per capire i loro obiettivi abbastanza da creare comunicazioni spoof credibili. Le tecniche di ingegneria sociale sono al centro di VEC, proprio come lo sono al centro di BEC, l'unica differenza è che i criminali informatici si concentrano su un intero ecosistema.
Come il BEC, l'obiettivo del truffatore VEC è quello di frodare un'azienda e rubare fondi. Il tempismo è una parte fondamentale di un attacco VEC, e l'ingegneria sociale è usata per ingannare i dipendenti a cambiare i dettagli di una fattura al momento giusto in modo da non destare sospetti.
Phishing in tutte le sue forme
Il BEC è uno dei molti tipi di attacchi informatici che usano il phishing o lo spear-phishing per iniziare un attacco. Il phishing è uno dei preferiti dagli ingegneri sociali ed era presente nel 36% delle violazioni secondo il DBIR. Il phishing è l'ultimo strumento nell'arsenale dell'ingegnere sociale, poiché il suo contenuto e il suo contesto possono alla fine portare al controllo di una rete aziendale.
Le email di phishing utilizzano una varietà di trucchi psicologici e trigger per indurre i destinatari a cliccare su un link dannoso o a scaricare un allegato infetto. Questi trucchi includono lo spoofing di marchi noti, usando l'urgenza e la paura per incoraggiare il click, e innescando emozioni come la Fear of Missing Out (FOMO). Maggiori informazioni sui tipi di tattiche usate per ingannare i dipendenti si possono trovare nella "Ultimate Guide to Phishing" di MetaCompliance.
Il phishing spesso segue eventi o prende di mira gli utenti per scopi specifici.
Manipolazione emotiva e phishing basato sugli eventi: gli eventi possono spesso essere un fattore emotivo per una persona. I truffatori usano queste emozioni per manipolare gli utenti facendogli credere che stanno perdendo qualcosa o che devono agire urgentemente per approfittare di un evento.
Durante la pandemia di Covid, molte e-mail di phishing riflettevano il marchio "Organizzazione Mondiale della Sanità" e giocavano sulle preoccupazioni sanitarie dei destinatari delle e-mail. Ad un certo punto durante la pandemia, Google stava bloccando circa 17 milioni di email di truffa al giorno, molti truffatori hanno usato la pandemia per giocare sulle emozioni e le paure della gente. Una singola e-mail truffa che entra nella casella di posta di un dipendente può risultare in una violazione catastrofica dei dati.
Attacchi Ransomware che usano il Follow-in Phishing: Il phishing porta al ransomware e ora può anche portare al follow-on phishing: questo è stato il caso del recente attacco Lapsus$ al più grande conglomerato di media del Portogallo, Impresa. Il gruppo possiede il più grande canale televisivo e giornale del paese, SIC ed Expresso. Si pensa che l'attacco sia iniziato con una e-mail di spear-phishing che ha portato all'acquisizione dell'account Amazon Web Services (AWS) del gruppo. Questo ha portato al defacement del sito web del gruppo, l'acquisizione dell'account Twitter di Expresso, e l'uso di un account di newsletter per inviare e-mail di phishing agli abbonati del gruppo.
Una volta che un criminale informatico ha accesso a una rete, di solito tramite credenziali rubate dal phishing o dallo spear-phishing, può poi utilizzare quel punto di ingresso per aumentare i privilegi e creare ulteriori attacchi, come si è visto nell'attacco Lapsus$. È altamente probabile che questi tipi di attacchi di sovrapposizione sfaccettata diventino più normali.
Il phishing continuerà ad essere utilizzato per avviare attacchi informatici, in quanto è un modo per i criminali informatici di 'comunicare' con le persone che fanno parte di un obiettivo aziendale. L'utilizzo di questo metodo di comunicazione è un modo perfetto per ingegnerizzare socialmente un essere umano, il che significa che il criminale informatico non ha bisogno di "hackerare" la tecnologia che potrebbe essere protetta, ma di hackerare l'essere umano.
Ingegneria sociale e falsi profondi
I falsi profondi sono il non plus ultra degli attacchi di ingegneria sociale e le organizzazioni dovrebbero aspettarsi che questa tecnologia venga utilizzata per motivi nefasti nei prossimi anni. L'FBI ha già pubblicato un avvertimento che afferma:
"l'FBI prevede che sarà sempre più utilizzato da attori informatici stranieri e criminali per lo spearphishing e l'ingegneria sociale in un'evoluzione del tradecraft operativo informatico".
L'FBI suggerisce tattiche che possono essere impiegate per ridurre il rischio di ingegneria sociale tramite falsi profondi, tra cui "addestrare gli utenti a identificare e segnalare i tentativi di ingegneria sociale e spearphishing che possono compromettere gli account personali e aziendali. "
Affrontare l'ingegneria sociale alla fonte
L'ingegneria sociale ha fornito agli hacker modi per ottenere l'accesso alle risorse da quando esistono gli esseri umani. Il fatto che questi criminali lavorino in un regno digitale non cambia il fatto che l'obiettivo del criminale informatico è il comportamento umano.
Per impedire agli ingegneri sociali di manipolare i nostri dipendenti e la più ampia rete di soci d'affari, dobbiamo addestrare questi individui nei modi degli ingegneri sociali. La conoscenza è potere, e l'equilibrio di potere deve essere spostato dal criminale informatico all'azienda attraverso l'educazione dei dipendenti e la cattura dei tentativi utilizzando sistemi di segnalazione.
