Ingegneria Sociale

Cos’è Ingegneria Sociale?

L'ingegneria sociale aggira ogni controllo di sicurezza tecnico puntando direttamente sul livello umano. Secondo il Data Breach Investigations Report di Verizon, l'elemento umano e coinvolto nel 68% delle violazioni, rendendo gli attacchi basati sulla manipolazione la minaccia piu persistente che le organizzazioni affrontano. In questa simulazione, ricevi una telefonata da qualcuno che suona credibile, professionale e preparato con dettagli sulla tua azienda. Il chiamante utilizza il pretexting per stabilire uno scenario credibile. Potrebbe affermare di provenire dal supporto IT per un audit di emergenza, un fornitore che deve verificare i dettagli dell'account o un nuovo assistente dirigenziale che conferma informazioni sensibili per conto della leadership. Conosce gia il tuo dipartimento, il nome del tuo responsabile e i progetti recenti, tutti raccolti da fonti pubbliche come LinkedIn e i comunicati stampa dell'azienda. Praticherai il mantenere la tua posizione quando il chiamante aumenta la pressione usando autorita, reciprocita e urgenza artificiale. La simulazione ti insegna come reindirizzare la verifica attraverso i canali ufficiali senza creare un'interazione conflittuale. Questo e fondamentale perche i veri ingegneri sociali contano sul fatto che i dipendenti siano troppo cortesi per opporsi. Imparerai anche a riconoscere quando una conversazione passa dalla normale comunicazione commerciale all'estrazione di informazioni, una transizione che avviene gradualmente ed e facile da perdere se non sei formato a individuarla. L'esercizio copre la verifica tramite richiamata, l'autenticazione fuori banda e le frasi specifiche che gli ingegneri sociali usano per scoraggiarti dal verificare la loro storia.

Cosa imparerai in Ingegneria Sociale

• Identificare il pretexting, l'impersonazione di autorita e la manipolazione dell'urgenza durante interazioni telefoniche e di persona dal vivo
• Applicare la verifica tramite richiamata e l'autenticazione fuori banda per confermare l'identita del chiamante attraverso le directory aziendali ufficiali
• Riconoscere il punto di transizione in cui una normale conversazione commerciale si trasforma in estrazione segreta di informazioni
• Rifiutare richieste di informazioni in modo fermo e professionale senza danneggiare le relazioni commerciali legittime
• Spiegare come gli attaccanti utilizzano i dati OSINT pubblicamente disponibili da LinkedIn, comunicati stampa e social media per costruire pretesti convincenti

Ingegneria Sociale — Fasi della formazione

1. Introduzione

   È un tipico martedì pomeriggio e Alice sta lavorando alla scadenza di un progetto fondamentale.

2. La chiamata inaspettata

   Il cellulare di Alice squilla inaspettatamente. L'ID chiamante mostra 'Supporto IT - Interno'. Poiché Alice riconosce che questo potrebbe provenire dal reparto IT della sua azienda, decide di rispondere alla chiamata.

3. L'introduzione convincente

   Alice è preoccupata per il potenziale problema di sicurezza e desidera contribuire a risolverlo rapidamente.

4. La raccolta di informazioni

   Alice, sentendosi pressata dall'urgenza e confidando che si tratti di un legittimo supporto informatico, inizia a considerare di fornire le informazioni richieste.

5. Escalation della richiesta

   Alice ritiene di non avere altra scelta che obbedire poiché il suo account potrebbe essere compromesso.

6. Il sito Web dannoso

   Alice nota che il sito web è simile alla pagina di accesso della sua azienda, anche se c'è qualcosa che non va nell'URL.

7. Il tentativo di accesso

   Bob è riuscito a catturare le credenziali di Alice e ora sta tentando di convincerla a scaricare malware camuffato da strumento di sicurezza.

8. Controllo dell'e-mail

   Dopo la chiamata, Alice apre il suo client di posta elettronica per verificare la presenza del messaggio promesso. Nella sua casella di posta nota un'e-mail proveniente dal 'Supporto IT' con oggetto 'Urgente: strumento di diagnostica della sicurezza'.

9. La realizzazione

   Mentre Alice riattacca il telefono, riaffiorano i ricordi del recente corso di formazione sulla sicurezza informatica dell'azienda. Ricorda l'istruttore che avvertiva specificamente gli aggressori che si spacciavano per il supporto IT, creavano una falsa urgenza e cercavano di indurre i dipendenti a scaricare software dannoso.

10. Risposta di sicurezza immediata

    Alice interviene immediatamente per ridurre al minimo i potenziali danni derivanti dall'attacco. Sa di aver già fornito le proprie credenziali al sito Web dannoso, il che significa che il suo account potrebbe essere compromesso. Riguardando il browser, nota che l'URL utilizzava HTTP invece di HTTPS: un chiaro segnale d'allarme che non si era accorta sotto pressione. Prende inoltre nota mentalmente di tutte le informazioni fornite durante la chiamata: il suo ID dipendente, le ultime quattro cifre del suo SSN e le sue credenziali di accesso.