Questo blog ti dirà come gli hackers hackano i conti bancari, i conti dei social media e i sistemi. Questo tutorial è solo per scopi educativi.
Gli hacker usano una tecnica che si chiama ingegneria sociale, quindi prima di tutto dovremmo sapere cosa si chiama ingegneria sociale?
L’ingegneria sociale è la manipolazione psicologica delle persone nell’eseguire azioni o divulgare informazioni riservate.In parole semplici significa ingannare le persone in modo che l’attaccante possa ottenere informazioni riservate della persona. Questa manipolazione sociale non è solo per benefici finanziari. L’ingegneria sociale può essere fatta anche per altri scopi, per esempio, raccogliere informazioni dalle persone. Si tratta di giocare con la loro mente per ottenere delle cose.L’attacco di ingegneria sociale non avviene solo su una singola persona, può anche essere fatto su un’organizzazione.Non c’è una certificazione per questa cosa.Si possono trovare ingegneri sociali ovunque. Anche i vostri amici seduti accanto a voi che si concentrano sulla vostra tastiera mentre digitate le vostre password sono ingegneri sociali.
Tipi di attacchi di ingegneria sociale:
Ci sono molte tattiche di ingegneria sociale a seconda del mezzo utilizzato per attuarlo. Il mezzo può essere l’email, il web, il telefono, le chiavette USB, o qualche altra cosa. Quindi, parliamo dei diversi tipi di attacchi di ingegneria sociale:
Phishing è il tipo più comune di attacco di ingegneria sociale. L’aggressore ricrea il sito web o il portale di supporto di un’azienda rinomata e invia il link agli obiettivi tramite e-mail o piattaforme di social media. L’altra persona, completamente sconosciuta del vero aggressore, finisce per compromettere le informazioni personali e persino i dettagli della carta di credito.
È possibile prevenire le e-mail di phishing utilizzando i filtri antispam nei vostri account di posta elettronica. La maggior parte dei provider di posta elettronica lo fa di default al giorno d’oggi. Inoltre, non aprire nessuna email proveniente da una fonte non fidata o sospetta.
Spear Phishing
Una tecnica di ingegneria sociale conosciuta come Spear Phishing può essere assunta come un sottoinsieme del Phishing. Sebbene sia un attacco simile, richiede uno sforzo extra da parte degli aggressori. Hanno bisogno di prestare attenzione al grado di unicità per il numero limitato di utenti che prendono di mira. E il duro lavoro paga, le possibilità che gli utenti cadano per le false email sono considerevolmente più alte nel caso dello spear phishing.
Vishing
Impositori o ingegneri sociali possono essere ovunque su internet. Ma molti preferiscono la vecchia maniera: usano il telefono. Questo tipo di attacco di ingegneria sociale è noto come Vishing. Ricreano il sistema IVR (Interactive Voice Response) di una società. Lo collegano a un numero verde e ingannano le persone a chiamare il numero di telefono e a inserire i loro dati. Siete d’accordo su questo? La maggior parte delle persone non ci pensa due volte prima di inserire informazioni confidenziali su un sistema IVR presumibilmente affidabile, vero?
Pretexting
Pretexting è un altro esempio di ingegneria sociale che potresti aver incontrato. Si basa su uno scenario script presentato di fronte agli obiettivi, utilizzato per estrarre PII o altre informazioni. Un attaccante potrebbe impersonare un’altra persona o una figura nota.
Avrete visto vari programmi televisivi e film in cui i detective usano questa tecnica per entrare in posti dove non sono personalmente autorizzati, o estrarre informazioni ingannando le persone. Un altro esempio di pretexting possono essere le false email che ricevi dai tuoi amici lontani che hanno bisogno di soldi. Probabilmente, qualcuno ha violato il loro account o ne ha creato uno falso.
Baiting
Se avete visto il film Troy, potreste ricordare la scena del cavallo di Troia. Una variante digitale di questa tecnica è conosciuta come Baiting ed è una delle tecniche di ingegneria sociale utilizzate dalle persone. Gli aggressori infettavano unità usb o dischi ottici in luoghi pubblici con la speranza che qualcuno lo prendesse per curiosità e lo usasse sui propri dispositivi. Un esempio più moderno di baiting può essere trovato sul web. Vari link per il download, per lo più contenenti software dannoso, vengono gettati davanti a persone a caso sperando che qualcuno ci clicchi sopra.
Tailgating
Il nostro ultimo tipo di attacco di ingegneria sociale del giorno è noto come tailgating o “piggybacking”. In questo tipo di attacchi, qualcuno senza l’adeguata autenticazione segue un dipendente autenticato in un’area riservata. L’attaccante potrebbe impersonare un autista di consegne e aspettare fuori da un edificio per iniziare le cose. Quando un dipendente ottiene l’approvazione della sicurezza e apre la porta, l’attaccante chiede al dipendente di tenere la porta, ottenendo così l’accesso all’edificio.
Il tailgating non funziona in tutti gli ambienti aziendali come le grandi aziende i cui ingressi richiedono l’uso di una tessera. Tuttavia, nelle imprese di medie dimensioni, gli aggressori possono avviare conversazioni con i dipendenti e utilizzare questa dimostrazione di familiarità per superare il front desk.
In effetti, Colin Greenless, un consulente di sicurezza di Siemens Enterprise Communications, ha utilizzato queste tattiche per ottenere l’accesso a più piani e alla sala dati di una società finanziaria quotata in borsa. È stato anche in grado di aprire un negozio in una sala riunioni al terzo piano e lavorare lì per diversi giorni.
Come difendersi dagli ingegneri sociali?
Ecco alcuni consigli che le organizzazioni possono incorporare nei loro programmi di formazione sulla sicurezza che aiuteranno gli utenti ad evitare schemi di ingegneria sociale:
- Non aprire alcuna e-mail da fonti non affidabili. Contattate un amico o un membro della famiglia di persona o per telefono se ricevete un messaggio e-mail sospetto da loro.
- Non date alle offerte degli sconosciuti il beneficio del dubbio. Se sembrano troppo belle per essere vere, probabilmente lo sono.
- Blocca il tuo portatile quando sei lontano dalla tua postazione di lavoro.
- Acquista un software antivirus. Nessuna soluzione AV può difendere da tutte le minacce che cercano di mettere in pericolo le informazioni degli utenti, ma possono aiutare a proteggere contro alcune di esse.
- Leggi la politica sulla privacy della tua azienda per capire in quali circostanze puoi o devi far entrare un estraneo nell’edificio.
Pensa prima di agire
La maggior parte di queste domande include cose meno importanti come nomi di animali, nomi di scuola, luogo di nascita, ecc. Inoltre, fate attenzione alle pagine web che visitate o ai file che scaricate. Possono contenere strumenti maligni per raccogliere le tue informazioni.
Migliora la tua intelligenza emotiva
Gli ingegneri sociali possono anche provare a colpire la parte emotiva del cervello delle persone. Potrebbero cercare di portarvi in un viaggio di colpa, rendervi nostalgici, o anche cercare di avere un impatto negativo. La situazione diventa allarmante; le persone tendono ad aprirsi di fronte a chi cerca di dar loro conforto emotivo.
2 Factor Authentication
Le persone dovrebbero usare 2FA per proteggersi da questi tipi di attacchi, in quanto è un tipo di funzione di sicurezza fornita dalle aziende.La gente ha il mito che la 2FA non può essere aggirata, ma può essere aggirata, vi dirò come fare nel mio prossimo tutorial.
Esempi di attacchi di ingegneria sociale
Immaginate se poteste semplicemente trasferire $10 a un investitore e vedere questo crescere in $10.000 senza alcuno sforzo da parte vostra? I criminali informatici usano le emozioni umane di base della fiducia e dell’avidità per convincere le vittime che possono davvero ottenere qualcosa per niente. Un’email di adescamento accuratamente formulata dice alle vittime di fornire le informazioni del loro conto bancario e i fondi saranno trasferiti il giorno stesso.
Esempio 2 -URGENZA
Si riceve un’email dal supporto clienti di un sito di shopping online da cui si acquista frequentemente che dice che hanno bisogno di confermare le informazioni della carta di credito per proteggere il conto. Il linguaggio dell’email ti esorta a rispondere rapidamente per assicurarti che i dati della tua carta di credito non vengano rubati dai criminali. Senza pensarci due volte e perché ti fidi del negozio online, mandi non solo i dati della tua carta di credito ma anche il tuo indirizzo postale e il tuo numero di telefono. Pochi giorni dopo, ricevi una chiamata dalla compagnia della tua carta di credito che ti dice che la tua carta di credito è stata rubata e usata per migliaia di dollari di acquisti fraudolenti.
Esempio 3- FAKE NOTIFICATION
Molte persone usano Sim di operatori come Airtel,Jio,Vodafone,AT&T,Industry body etc.Un messaggio arriva al nostro telefono quando usiamo il 50% o il 100% di Internet dall’operatore e sotto c’è il link dell’app dell’operatore e un messaggio e possiamo seguire l’uso dei dati e l’offerta di addons per fare la ricarica.Quindi penserete a cosa servirà questo hacker?
Un hacker userà questo messaggio per hackerare il vostro telefono cellulare.L’hacker falsificherà il messaggio e inietterà il payload con l’app e quando scaricherete l’app Boom il vostro sistema verrà violato.
Questi sono alcuni esempi di attacchi di ingegneria sociale.
Spero che vi piaccia questo tutorial.State al sicuro da questi tipi di attacchi.