Hacking etico - Ingegneria sociale
Cerchiamo di comprendere il concetto di attacchi di ingegneria sociale attraverso alcuni esempi.
Esempio 1
Avrai notato che vecchi documenti aziendali venivano gettati nella spazzatura come immondizia. Questi documenti potrebbero contenere informazioni sensibili come nomi, numeri di telefono, numeri di conto, numeri di previdenza sociale, indirizzi, ecc. Molte aziende usano ancora la carta carbone nei loro fax e una volta che il rotolo è finito, il suo carbone finisce nella pattumiera che potrebbe avere tracce dei dati sensibili. Anche se sembra improbabile, gli aggressori possono facilmente recuperare le informazioni dai cassonetti dell'azienda rubando nella spazzatura.
Esempio 2
Un aggressore può fare amicizia con il personale dell'azienda e stabilire con lui un buon rapporto per un periodo di tempo. Questa relazione può essere stabilita online tramite social network, chat room o offline a un tavolino da caffè, in un parco giochi o con qualsiasi altro mezzo. L'autore dell'attacco prende in confidenza il personale dell'ufficio e alla fine estrae le informazioni sensibili richieste senza fornire un indizio.
Esempio 3
Un ingegnere sociale può fingere di essere un dipendente o un utente valido o un VIP fingendo una carta d'identità o semplicemente convincendo i dipendenti della sua posizione in azienda. Un tale aggressore può ottenere l'accesso fisico ad aree riservate, fornendo così ulteriori opportunità di attacchi.
Esempio 4
Succede nella maggior parte dei casi che un attaccante potrebbe essere intorno a te e può farlo shoulder surfing mentre stai digitando informazioni sensibili come ID utente e password, PIN dell'account, ecc.
Attacco di phishing
Un attacco di phishing è un social engineering basato su computer, in cui un utente malintenzionato crea un'e-mail che sembra legittima. Tali e-mail hanno lo stesso aspetto e aspetto di quelle ricevute dal sito originale, ma potrebbero contenere collegamenti a siti Web falsi. Se non sei abbastanza intelligente, digiterai il tuo ID utente e la password e proverai ad accedere, il che si tradurrà in un errore e, a quel punto, l'attaccante avrà il tuo ID e la tua password per attaccare il tuo account originale.
Soluzione rapida
Dovresti applicare una buona politica di sicurezza nella tua organizzazione e condurre i corsi di formazione necessari per rendere tutti i dipendenti consapevoli dei possibili attacchi di ingegneria sociale e delle loro conseguenze.
La distruzione dei documenti dovrebbe essere un'attività obbligatoria nella tua azienda.
Assicurati che tutti i link che ricevi nella tua email provengano da fonti autentiche e che puntino a siti Web corretti. Altrimenti potresti finire vittima di phishing.
Sii professionale e non condividere mai il tuo ID e la password con nessun altro in ogni caso.