7 nuove tattiche di ingegneria sociale che vedremo nel 2021.



È stato un periodo di boom per l'ingegneria sociale il 2020.


Il panico dovuto alla pandemia, le preoccupazioni sul reddito, la paura per la salute e il mancato benessere, hanno reso più facile per i criminali utilizzare le nostre paure per i loro scopi.


Per "ingegneria sociale" si intende attaccare un utente, piuttosto che il sistema informatico, cercando di estrarre informazioni o incitare un'azione che porterà alla compromissione dei dati.

Questo vuol dire "mentire". E' quella capacità e di saper ingannare gli altri nell'era dei computer.

"In genere sono gli stessi trucchi racchiusi in un nuovo packaging, ed è esattamente quello che stiamo vedendo", ha affermato Perry Carpenter, chief evangelist e strategy officer di KnowBe4, una società specializzata sulla consapevolezza alla sicurezza informatica.





La confezione infatti è importante e un attacco che sembra essere "familiare", può passare inosservato attraverso le difese e quindi arrecare dei danni.


Ma quali sono le tecniche di Ingegneria sociale con le quali faremo i conti nel prossimo futuro? Gli esperti di ingegneria sociale affermano che nel 2021 vedremo:

  1. Codici QR dannosi

  2. Dirottamento delle notifiche del browser

  3. Truffe di collaborazione

  4. Furto d'identità del partner in supply-chain

  5. Deepfake

  6. Frode di testo

  7. Typosquatting

Ma scopriamoli meglio con questo articolo.


Codici QR dannosi

Le frodi di phishing relative al codice QR sono apparse nell'ultimo anno.

I codici QR, ovvero quei codici a matrice in bianco e nero leggibili da una macchina disposti in un quadrato, sono diventati un modo sempre più popolare per le aziende di interagire con i consumatori e fornire servizi. Ad esempio, molti ristoranti hanno abbandonato i menu cartaceo e consentono agli utenti di scansionare un codice QR con il proprio smartphone.

Ma molti dei siti Web che inviano i codici QR alle persone, si avvalgono di fornitori di terze parti. Quando viene scansionato, un codice QR dannoso può connettere il telefono a una destinazione dannosa, proprio come fare clic su un collegamento non valido. Stesso concetto; nuovo wrapper. "Le persone possono essere condizionate a presumere che il codice e il sito Web siano legittimi". I metodi di "consegna" per questa tattica di ingegneria sociale variano. Oz Alashe, CEO della società di analisi e sicurezza con sede nel Regno Unito CybSafe, ha affermato di aver sentito parlare di volantini in alcuni quartieri con codici fraudolenti che promettono "Scansiona questo codice QR per avere la possibilità di vincere una Xbox". "Spesso il codice porta a un sito pericoloso che scarica malware sul proprio telefono", afferma Alashe.


Dirottamento delle notifiche del browser

I siti web chiedono da diversi anni ai visitatori di approvare le "notifiche" dal sito.

Quello che una volta era un modo utile per interagire con i lettori e tenerli aggiornati è ora, ovviamente, anche uno strumento di ingegneria sociale.

"Queste sono chiamate notifiche push e possono essere utilizzate come armi", ha detto Carpenter. "Il problema è che molti utenti fanno clic ciecamente per consentire queste notifiche." Mentre molti utenti hanno imparato un certo livello di cautela con i browser Web, le notifiche appaiono più come messaggi di sistema dal dispositivo stesso, piuttosto che dal browser.


Anche per gli utenti che non dicono ciecamente sì, i truffatori trovano modi per installare i loro script di notifica. Le tattiche includono mascherare il consenso dell'abbonamento come un'altra azione, come un CAPTCHA, o cambiare i pulsanti "accetta" e "rifiuta" negli avvisi di sottoscrizione.

Una volta che il criminale ha ottenuto il consenso (illecito) dell'utente, inizia a inondarlo di messaggi e i messaggi o notifiche di truffa che contengono a loro volta del malware.


Truffe di collaborazione

Con questa tattica di ingegneria sociale, i criminali informatici prendono di mira professionisti, sviluppatori e persino ricercatori di sicurezza. L'esca è un invito che chiede loro di collaborare per uno specifico lavoro. I recenti blocchi in caso di pandemia e l'ampliamento del lavoro da casa hanno aumentato il comfort delle persone con la collaborazione a distanza, quindi questa tattica si adatta bene ai tempi.


I criminali informatici, ad esempio, hanno inviato un progetto Visual Studio contenente codice dannoso. L'utente esegue autonomamente il programma e il suo dispositivo viene infettato rapidamente. Questo attacco sfrutta essenzialmente il desiderio o la necessità di assistere o aiutare gli altri con progetti per pura passione ", ha affermato Alashe.


Tzury Bar Yochay, co-fondatore e CTO della società di sicurezza Reblaze, ha affermato che gli esempi di questo attacco sono spesso ben congegnati e mostrano una grande attenzione ai dettagli. "Gli aggressori si sono presentati come ricercatori attivi e hanno costruito prove sociali" - con apparenti terze parti che convalidano la loro ricerca - "utilizzando un blog che include articoli da fonti del settore come" post degli ospiti ", account Twitter, video di YouTube, LinkedIn, Discord e altro". Un bersaglio sospetto può essere messo a proprio agio da questa apparentemente ampia impronta sociale.


Furto d'identità del partner in supply-chain

George Gerchow, CSO di Sumo Logic, ha affermato che gli attacchi che sfruttano parti della catena di approvvigionamento di un'organizzazione sono ora un grosso problema.


"Non è facile difendere ciò che non puoi vedere", ha detto Gerchow. "Ad esempio, sono arrivate una miriade di e-mail mirate che sembrano provenire dai tuoi partner fidati, ma in realtà sono i criminali informatici che si spacciano per dipendenti che potresti conoscere all'interno della tua rete". Gerchow ha affermato di aver osservato per la prima volta le offerte di buoni regalo truffa presentate ai dipendenti di Sumo Logic, mascherate come incentivi o ringraziamenti dai veri partner commerciali dell'azienda.





Ma gli attacchi sono diventati ancora più dettagliati nel tempo “Ora vediamo questi lunghi e sofisticati tentativi di creare fiducia o relazioni con alcuni dei nostri team. I cattivi attori si sono persino spacciati per fornitori che utilizzano il nostro prodotto con account gratuiti e sono passati al supporto all'interno della nostra azienda".


Stabilendo queste relazioni di fiducia, l'obiettivo finale degli aggressori è quello di rendere più efficaci le tattiche standard di ingegneria sociale, ottenere aiuto per aggirare i controlli di sicurezza o inviare malware che comprometterà i sistemi dell'azienda di destinazione.

L'attacco principale a SolarWinds è un esempio di attacco alla catena di approvvigionamento. Come hanno notato i funzionari di SolarWinds, un "account di posta elettronica è stato compromesso e utilizzato per accedere in modo programmatico agli account del personale SolarWinds mirando i ruoli aziendali tecnici".

Deepfake

Gli ingegneri sociali ora utilizzano i deepfake - registrazioni inizialmente realistiche che utilizzano l'intelligenza artificiale per simulare l'aspetto o la voce di una persona specifica - per indurre le vittime a divulgare informazioni o eseguire un'azione a vantaggio dell'attaccante.

Bar Yochay di Reblaze ha affermato che gli attacchi audio deepfake, in cui l'attaccante utilizza una voce "clonata" quasi indistinguibile dalla voce di una persona reale per creare una registrazione audio truffa, sono una preoccupazione crescente. Uno dei primi esempi di successo è arrivato nel 2019, quando una falsa registrazione della voce di un CEO è stata utilizzata per istruire un dipendente a trasferire immediatamente denaro su un conto internazionale.


"La registrazione è stata lasciata come messaggio vocale al subordinato, che ha obbedito alle istruzioni fraudolente e ha inviato 243.000 dollari agli aggressori", ha detto Bar Yochav.

"Formazione, consapevolezza, auto-segnalazione e trasparenza saranno l'unico modo per aumentare la sicurezza intorno a questi attacchi", ha affermato Gerchow. "La sicurezza deve essere accessibile e, naturalmente, registrare tutto".





Frode di testo

Mentre il testo è stato un canale per le truffe di ingegneria sociale per un po', Rebecca Herold, un'esperta di privacy e sicurezza, afferma che le tattiche di sms sono in primo piano.

“Stiamo diventando una società in cui gran parte della popolazione preferisce comunicare tramite messaggi di testo invece che tramite telefono. Le persone sono ormai estremamente abituate a comunicare tipi di informazioni molto riservate tramite testo ", afferma Herold.


Herold ha detto di aver visto i truffatori spacciarsi per il Dipartimento della salute e dei servizi umani degli Stati Uniti dicendo alle vittime di fare un "test COVID online obbligatorio" utilizzando un collegamento fornito. "Quindi, come altre truffe, le loro informazioni personali vengono prese e il malware viene spesso caricato sul loro dispositivo informatico", ha affermato Herold.


Typosquatting

Carpenter ha affermato che il typosquatting, o domini sosia, viene spesso utilizzato negli attacchi di compromissione della posta elettronica aziendale (BEC).


I truffatori impersonano domini legittimi per ingannare le vittime facendole credere di trovarsi in un luogo sicuro. Lo fanno con molti trucchi, incluso l'ortografia errata del dominio (pensa a Gooogle invece di Google) o l'aggiunta di un dominio di primo livello diverso (.uk invece di .co.uk). A differenza delle versioni spesso sciatte dei giorni precedenti, oggi questi siti possono presentare design sofisticati, mimetizzazione accuratamente dettagliata di siti legittimi e funzionalità sofisticate.



Fonti

https://www.csoonline.com/article/3613937/7-new-social-engineering-tactics-threat-actors-are-using-now.amp.html