Cos’è l’ingegneria sociale e perché dovresti preoccuparti?

“Coloro che possono rinunciare alla libertà essenziale per ottenere un po ‘di sicurezza temporanea non meritano né libertà né sicurezza.” – Benjamin Franklin


L’ingegneria sociale è stata per un po ‘in primo piano nei problemi di sicurezza. È stato ampiamente discusso dagli esperti del settore. Tuttavia, non molti comprendono pienamente il potenziale pericolo che rappresenta e quanto può essere molto pericoloso.

Per gli hacker, il Social Engineering è probabilmente il modo più semplice ed efficace per violare i protocolli di sicurezza. L’ascesa di Internet ci ha dato capacità molto potenti interconnettendo i dispositivi senza la barriera della distanza. Dandoci progressi nella comunicazione e nell’interconnessione, questo, tuttavia, ha introdotto delle lacune che portano a una violazione delle informazioni personali e della privacy.

Sin dai primi tempi pre-tecnologici, gli umani hanno codificato e protetto le informazioni. Un metodo popolarmente conosciuto dai tempi antichi è il Caeser Cipher dove i messaggi vengono codificati spostando i luoghi nell’elenco degli alfabeti. ad esempio, “ciao mondo” se spostato di 1 posizione potrebbe essere scritto come “ifmmp xpsmf”, il decodificatore che legge il messaggio “ifmmp xpsmf” dovrà spostare le lettere di un posto all’indietro nell’elenco degli alfabeti per comprendere il messaggio.

Per quanto semplice fosse questa tecnica di codifica, rimase in piedi per quasi 2000 anni!

Oggi abbiamo sviluppato sistemi di sicurezza più avanzati e robusti, ma la sicurezza è una sfida.

È importante notare che esiste un vasto numero di tecniche impiegate dagli hacker per ottenere informazioni vitali. Esamineremo brevemente alcune di queste tecniche per capire perché il social engineering è un grosso problema.

Forza bruta & Attacchi a dizionario

Un hack di forza bruta coinvolge un hacker con un set avanzato di strumenti creati per penetrare in un sistema di sicurezza usando una password calcolata ottenendo tutte le possibili combinazioni di caratteri. Un attacco del dizionario coinvolge l’attaccante che esegue un elenco di parole (dal dizionario), sperando di trovare una corrispondenza con la password dell’utente.

Un attacco di forza bruta al giorno d’oggi, sebbene molto potente, sembra avere meno probabilità di verificarsi a causa della natura degli attuali algoritmi di sicurezza. Per mettere le cose in prospettiva, se la password sul mio account è “[Email protected]!!!”, Una somma totale di personaggi è 22; quindi, ci vorranno 22 fattoriali, per un computer per calcolare tutte le possibili combinazioni. Questo è molto.

Inoltre, ci sono algoritmi di hashing che prendono quella password e la convertono in un hash per rendere ancora più difficile indovinare un sistema a forza bruta. Per esempio. è possibile eseguire l’hashing della password scritta precedente d734516b1518646398c1e2eefa2dfe99. Ciò aggiunge un livello ancora più grave di sicurezza alla password. Esamineremo più avanti le tecniche di sicurezza.

Se sei il proprietario di un sito WordPress e cerchi la protezione della forza bruta, dai un’occhiata a questa guida.

Attacchi DDoS

Fonte: comodo.com

Gli attacchi di tipo Denial of Service distribuito si verificano quando un utente viene bloccato per l’accesso a risorse Internet legittime. Potrebbe essere sul lato utente o sul servizio a cui l’utente sta tentando di accedere.

Un DDoS di solito comporta una perdita di entrate o di utenti. Affinché un attacco come questo sia possibile, un hacker può assumere il controllo di più computer su Internet che possono essere utilizzati una parte di un “BotNet” per destabilizzare la rete o in alcuni casi inondare il traffico di rete con pacchetti non utili di informazioni che comportano un uso eccessivo e, di conseguenza, una suddivisione delle risorse di rete e dei nodi.

Phishing

phishing

Questa è una forma di pirateria informatica in cui l’attaccante tenta di rubare le credenziali dell’utente creando falsi sostituti delle pagine di accesso. Tipicamente, l’aggressore invia un’e-mail malevola a un utente che agisce come una fonte attendibile come una banca o un sito Web di social media, con un link in cui l’utente può inserire le proprie credenziali. I collegamenti sono in genere fatti per sembrare siti Web legittimi, ma uno sguardo più attento rivela che sono sbagliati.

Ad esempio, una volta un link di phishing ha utilizzato paypai.com per truffare gli utenti di Paypal e rinunciare ai propri dati di accesso.

Un tipico formato e-mail di phishing.

“Caro utente,

Abbiamo notato attività sospette sul tuo account. Fai clic qui per modificare la password ora per evitare che il tuo account venga bloccato. “

C’è una probabilità del 50% di essere stato phishing immediatamente. No? Hai mai effettuato l’accesso a un sito Web e quindi dopo aver fatto clic su Accedi / Accedi, ti riporta ancora alla pagina di accesso, Sì? Sei stato phishing con successo.

Come si fa l’ingegneria sociale?

Anche se gli algoritmi di crittografia diventano ancora più difficili da rompere e più sicuri, hack di ingegneria sociale sono ancora più potenti che mai.

Un ingegnere sociale in genere raccoglie informazioni su di te in modo da poter accedere agli account online e ad altre risorse protette. Di solito, un aggressore fa sì che la vittima divulga volontariamente informazioni personali attraverso manipolazioni psicologiche. Una parte spaventosa di questo è che queste informazioni non devono necessariamente provenire da te, solo da qualcuno che lo sa.

Comunemente, l’obiettivo non è colui che diventa social engineering.

Ad esempio, una popolare società di telecomunicazioni in Canada era nelle prime notizie di quest’anno per un hacking di social engineering sui suoi clienti, in cui il personale del servizio clienti era social engineering per rivelare i dettagli del target in un enorme hack sim sim swap che porta a Perdita di denaro di $ 30.000.

Gli ingegneri sociali giocano sulle insicurezze, la negligenza e l’ignoranza delle persone per indurle a divulgare informazioni vitali. In un’epoca in cui il supporto remoto è ampiamente utilizzato, le organizzazioni si sono trovate in molti più casi di hack come questi a causa dell’inevitabilità dell’errore umano.

Chiunque può essere vittima del social engineering, ciò che è ancora più spaventoso è che potresti essere violato senza nemmeno saperlo!

Come proteggersi dall’ingegneria sociale?

  • Evita di utilizzare informazioni personali come la data di nascita, il nome dell’animale, il nome del bambino, ecc. Come password di accesso
  • Non utilizzare la password debole. Se non ricordi quello complesso, usa un gestore di password.
  • Cerca le ovvie bugie. Un ingegnere sociale non sa davvero abbastanza per hackerarti subito; forniscono le informazioni sbagliate nella speranza che tu fornisca quella giusta e poi passano alla richiesta di ulteriori informazioni. Non cadere per questo!
  • Verificare l’autenticità del mittente e del dominio prima di agire dai messaggi di posta elettronica.
  • Consulta immediatamente la tua banca e noti attività sospette sul tuo conto.
  • Quando si perde improvvisamente la ricezione del segnale sul telefono cellulare, effettuare immediatamente il check-in con il proprio gestore di rete. Potrebbe essere un hack di sim sim swap.
  • Abilita 2 Factor Authentication (2-FA) su servizi che lo supportano.

Conclusione

Questi passaggi non sono un rimedio diretto agli hack di ingegneria sociale, ma ti aiutano a renderti difficile per un hacker.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map