L’ingegneria sociale è l’arte di manipolare le persone in modo che rinunciano a informazioni riservate. I tipi di informazioni che questi criminali stanno cercando possono variare, ma quando le persone vengono prese di mira, i criminali di solito cercano di indurti a fornire loro le tue password o le informazioni bancarie, o di accedere al tuo computer per installare segretamente software dannoso, che darà loro accesso al tuo password e informazioni bancarie, oltre a dare loro il controllo sul tuo computer.

I criminali usano tattiche di ingegneria sociale perché di solito è più facile sfruttare la tua naturale inclinazione alla fiducia che scoprire modi per hackerare il tuo software. Ad esempio, è molto più facile ingannare qualcuno inducendoti a fornirti la sua password che a te provare ad hackerare la sua password (a meno che la password non sia veramente debole).

Il phishing si è evoluto. Scopri gli 11 modi in cui gli hacker cercano i tuoi dati e come proteggerti in questa guida.

La sicurezza consiste nel sapere di chi e di cosa fidarsi. È importante sapere quando e quando non prendere in parola una persona e quando la persona con cui stai comunicando è chi dice di essere. Lo stesso vale per le interazioni online e l’utilizzo del sito web: quando ritieni che il sito web che stai utilizzando sia legittimo o sicuro nel fornire le tue informazioni?

Chiedi a qualsiasi professionista della sicurezza e ti dirà che il più debole L’anello nella catena della sicurezza è l’essere umano che accetta una persona o uno scenario al valore nominale. Non importa quante serrature e catenacci ci siano su porte e finestre, o se ci sono cani da guardia, sistemi di allarme, riflettori, recinzioni con filo spinato e personale di sicurezza armato; se ti fidi della persona al gate che dice di essere il fattorino della pizza e lo fai entrare senza prima controllare per vedere se è legittimo, sei completamente esposto a qualunque rischio rappresenti.

Che cosa fa un Ha l’aspetto di un attacco di ingegneria sociale?

Email di un amico

Se un criminale riesce ad hackerare o modificare socialmente la password email di una persona, ha accesso all’elenco dei contatti di quella persona, e perché la maggior parte delle persone usa una password ovunque, probabilmente hanno accesso anche ai contatti del social network di quella persona.

Una volta che il criminale ha quell’account e-mail sotto il suo controllo, invia e-mail a tutti i contatti della persona o lascia messaggi su tutti i suoi sulle pagine social di un amico, e possibilmente sulle pagine degli amici dell’amico della persona.

Approfittando della tua fiducia e curiosità, questi messaggi:

• Conterranno un link che devi solo controllare e poiché il link proviene da un amico e sei curioso, ti fiderai del collegare e fare clic – ed essere infettati da malware in modo che il criminale possa prendere il controllo della tua macchina e raccogliere le informazioni sui tuoi contatti e ingannarli proprio come se fossi stato ingannato

• Contenere un download di immagini musica, film, documenti e così via con software dannoso incorporato. Se esegui il download, cosa che probabilmente farai poiché pensi che provenga da un tuo amico, verrai infettato. Ora, il criminale ha accesso alla tua macchina, account di posta elettronica, account di social network e contatti e l’attacco si diffonde a tutti quelli che conosci. E così via.

Email da un’altra fonte attendibile

Gli attacchi di phishing sono un sottoinsieme di strategie di ingegneria sociale che imitano una fonte attendibile e inventano una scenario apparentemente logico per la consegna delle credenziali di accesso o di altri dati personali sensibili. Secondo i dati di Webroot, le istituzioni finanziarie rappresentano la stragrande maggioranza delle società impersonate e, secondo il rapporto annuale sulle indagini sulla violazione dei dati di Verizon, gli attacchi di ingegneria sociale, inclusi phishing e pretesto (vedi sotto), sono responsabili del 93% delle violazioni dei dati riuscite.

Utilizzando una storia o un pretesto avvincente, questi messaggi possono:

• Chiedere urgentemente il tuo aiuto. Il tuo “amico” è bloccato nel paese X, è stato derubato, picchiato , ed è in ospedale. Hanno bisogno che tu invii denaro in modo che possano tornare a casa e ti dicono come inviare il denaro al criminale.

• Usa tentativi di phishing con un sfondo apparentemente legittimo. In genere, un phisher invia un’e-mail, un messaggio istantaneo, un commento o un messaggio di testo che sembra provenire da un’azienda, banca, scuola o istituto legittimo e popolare.

• Chiederti di fare una donazione alla loro raccolta fondi di beneficenza o per qualche altra causa. Probabilmente con istruzioni su come inviare il denaro al criminale. Predare parenti durezza e generosità, questi phisher chiedono aiuto o sostegno per qualsiasi disastro, campagna politica o beneficenza sia momentaneamente al primo posto.

• Presenta un problema che ti richiede di ” verificare “le tue informazioni cliccando sul link visualizzato e fornendo le informazioni nel loro modulo.La posizione del collegamento può sembrare molto legittima con tutti i loghi e il contenuto corretti (in effetti, i criminali potrebbero aver copiato il formato e il contenuto esatti del sito legittimo). Poiché tutto sembra legittimo, ti fidi dell’e-mail e del sito fasullo e fornisci tutte le informazioni richieste dal truffatore. Questi tipi di truffe di phishing spesso includono un avviso di ciò che accadrà se non agisci presto perché i criminali sanno che se riescono a farti agire prima che tu pensi, è più probabile che tu cada nel loro tentativo di phishing.

• Ti informa che sei un “vincitore”. Forse l’email afferma di provenire da una lotteria, o da un parente morto o dalla milionesima persona che ha fatto clic sul loro sito, ecc. per darti le tue “ vincite ” devi fornire informazioni sulla tua banca in modo che sappiano come inviartelo o fornire il tuo indirizzo e numero di telefono in modo che possano inviare il premio, e ti potrebbe anche essere chiesto di dimostrare chi sei spesso includendo il numero di previdenza sociale. Questi sono gli “attacchi di avidità” in cui, anche se il pretesto della storia è scarno, le persone vogliono ciò che viene offerto e ci cascano dando via le loro informazioni, quindi svuotando il conto in banca e rubando l’identità.

• Poni come un capo o un collega. Potrebbe richiedere un aggiornamento su un importante progetto proprietario su cui la tua azienda sta attualmente lavorando, informazioni di pagamento relative a una carta di credito aziendale o qualche altra richiesta mascherata da attività quotidiana.

Scenari di esca

Questi schemi di ingegneria sociale sanno che se fai penzolare qualcosa che le persone vogliono, molte persone abbatteranno l’esca. Questi schemi si trovano spesso sui siti peer-to-peer che offrono il download di qualcosa come un nuovo film o musica hot. Ma gli schemi si trovano anche su siti di social network, siti web dannosi che trovi nei risultati di ricerca e così via.

Oppure, lo schema può apparire come un ottimo affare su siti classificati, siti di aste, ecc. .. Per fugare i tuoi sospetti, puoi vedere che il venditore ha una buona valutazione (tutto pianificato e realizzato in anticipo).

Le persone che abboccano possono essere infettate da software dannoso in grado di generare un numero qualsiasi di nuovi exploit contro se stessi e i loro contatti, potrebbero perdere i loro soldi senza ricevere l’articolo acquistato e, se fossero così sciocchi da pagare con un assegno, potrebbero trovare il loro conto in banca vuoto.

Risposta a una domanda tu mai avuto

I criminali potrebbero fingere di rispondere alla tua “richiesta di aiuto” da parte di un’azienda offrendo allo stesso tempo ulteriore aiuto. Scelgono aziende che milioni di persone utilizzano come una società di software o una banca. Se non utilizzi il prodotto o il servizio, ignorerai l’e-mail, la telefonata o il messaggio, ma se ti capita di utilizzare il servizio, ci sono buone probabilità che tu risponda perché probabilmente desideri aiuto con un problema .

Ad esempio, anche se sai di non aver fatto inizialmente una domanda, probabilmente hai un problema con il sistema operativo del tuo computer e cogli l’occasione per risolverlo. Gratuito! Nel momento in cui rispondi hai comprato la storia del ladro, dato loro la tua fiducia e ti sei aperto allo sfruttamento.

Il rappresentante, che in realtà è un criminale, dovrà “autenticarti”, per farti accedere “il loro sistema” oppure, fai in modo che tu acceda al tuo computer e dia loro l’accesso remoto al tuo computer in modo che possano “aggiustarlo” per te, o ti dica i comandi in modo che tu possa aggiustarlo da solo con il loro aiuto – dove alcuni dei i comandi che ti dicono di inserire apriranno un modo per il criminale di tornare nel tuo computer in un secondo momento.

Creare sfiducia

Un po ‘di ingegneria sociale, consiste nel creare sfiducia o nell’avvio di conflitti ; questi sono spesso eseguiti da persone che conosci e che sono arrabbiate con te, ma è anche fatto da persone cattive che cercano solo di provocare il caos, persone che vogliono prima creare sfiducia nella tua mente sugli altri in modo che possano poi intervenire come un eroe e ottenere la tua fiducia, o da estorsori che vogliono manipolare le informazioni e poi minacciarti di divulgazione.

Questa forma di ingegneria sociale spesso inizia con l’accesso a un account di posta elettronica o a un altro account di comunicazione su un client di messaggistica istantanea , social network, chat, forum, ecc. Lo fanno tramite hacking, ingegneria sociale o semplicemente indovinando password veramente deboli.

• La persona malintenzionata può quindi alterare comunicazioni sensibili o private (comprese le immagini e l’audio) utilizzando tecniche di editing di base e le inoltra ad altre persone per creare dramma, sfiducia, imbarazzo, ecc. Possono far sembrare che sia stato inviato accidentalmente o sembrare che ti stiano facendo sapere cosa è “ veramente ” in corso.

• A In alternativa, possono utilizzare il materiale modificato per estorcere denaro alla persona che hanno hackerato o al presunto destinatario.

Ci sono letteralmente migliaia di variazioni agli attacchi di ingegneria sociale.L’unico limite al numero di modi in cui possono progettare socialmente gli utenti attraverso questo tipo di exploit è l’immaginazione del criminale. E potresti sperimentare più forme di exploit in un singolo attacco. Quindi è probabile che il criminale venda le tue informazioni ad altri in modo che anche loro possano eseguire i loro exploit contro di te, i tuoi amici, gli amici dei tuoi amici e così via mentre i criminali sfruttano la fiducia mal riposta delle persone.

Non diventare una vittima

Sebbene gli attacchi di phishing siano dilaganti, di breve durata e richiedano solo pochi utenti per abbattere l’esca per una campagna di successo, esistono metodi per proteggersi. La maggior parte non richiede molto di più che prestare attenzione ai dettagli di fronte a te. Tieni presente quanto segue per evitare di essere oggetto di phishing.

Suggerimenti da ricordare:

• Rallenta. Gli spammer vogliono che tu agisca prima e pensi dopo. Se il messaggio trasmette un senso di urgenza o utilizza tattiche di vendita ad alta pressione, sii scettico; non lasciare mai che la loro urgenza influenzi la tua attenta revisione.

• Fai una ricerca sui fatti. Diffida di eventuali messaggi non richiesti. Se l’email sembra provenire da un’azienda che utilizzi, fai le tue ricerche. Utilizza un motore di ricerca per visitare il sito reale dell’azienda, oppure un elenco telefonico per trovare il loro numero di telefono.

• Non lasciare che un link abbia il controllo della tua destinazione. Mantieni il controllo trovando il sito web utilizzando un motore di ricerca per assicurati di atterrare dove intendi atterrare. Passando il mouse sui link nell’email verrà visualizzato l’URL effettivo in fondo, ma un buon fake può comunque indirizzarti nel modo sbagliato.

• Dirottamento dell’email è dilagante. Hack er, spammer e ingegneri sociali che assumono il controllo degli account di posta elettronica delle persone (e altri account di comunicazione) sono diventati dilaganti. Una volta che controllano un account di posta elettronica, sfruttano la fiducia dei contatti della persona. Anche quando il mittente sembra essere qualcuno che conosci, se non ti aspetti un’email con un link o un allegato controlla con il tuo amico prima di aprire i link o di scaricarli.

• Attenzione a qualsiasi download. Se non conosci personalmente il mittente E ti aspetti un file da loro, scaricare qualcosa è un errore.

• Le offerte straniere sono false. Se ricevi un’e-mail da una lotteria straniera o da una lotteria, denaro da un parente sconosciuto o richieste di trasferimento di fondi da un paese straniero per una quota del denaro, è garantito che si tratta di una truffa.

Modi per proteggersi:

• Elimina qualsiasi richiesta di informazioni finanziarie o password. Se ti viene chiesto di rispondere a un messaggio con informazioni personali, si tratta di una truffa.

• Rifiuta le richieste di aiuto o le offerte di aiuto. Le società e le organizzazioni legittime non ti contattano per fornire assistenza. Se non hai specificamente richiesto l’assistenza del mittente, considera qualsiasi offerta di “aiuto” per ripristinare i punteggi di credito, rifinanziare una casa, rispondere alla tua domanda, ecc., Una truffa. Allo stesso modo, se ricevi una richiesta di aiuto da un ente di beneficenza o un’organizzazione con cui non hai una relazione, eliminala. Per donare, cerca da solo organizzazioni di beneficenza affidabili per evitare di cadere in una truffa.

• Imposta i filtri antispam su alto. Ogni programma di posta elettronica dispone di filtri antispam. Per trovare la tua, guarda le opzioni delle tue impostazioni e impostale su un valore alto: ricorda di controllare periodicamente la tua cartella spam per vedere se e-mail legittime sono state accidentalmente intrappolate lì. Puoi anche cercare una guida passo passo per impostare i tuoi filtri antispam cercando il nome del tuo provider di posta elettronica più la frase “filtri antispam”.

• Proteggi il tuo dispositivi informatici. Installa software antivirus, firewall, filtri e-mail e mantienili aggiornati. Imposta il sistema operativo in modo che si aggiorni automaticamente e, se lo smartphone non si aggiorna automaticamente, aggiornalo manualmente ogni volta che ricevi un avviso in tal senso. Utilizza uno strumento anti-phishing offerto dal tuo browser web o da terze parti per avvisarti dei rischi.

Il database delle minacce di Webroot ha più di 600 milioni di domini e 27 miliardi di URL classificati per proteggere gli utenti dalle minacce basate sul Web. L’intelligence sulle minacce che supporta tutti i nostri prodotti ti aiuta a utilizzare il Web in modo sicuro e le nostre soluzioni di sicurezza mobile offrono una navigazione web sicura per prevenire attacchi di phishing di successo.