Le cinque fonti di intelligence che alimentano le truffe di ingegneria sociale
L’ingegneria sociale è una delle tecniche di attacco più diffuse utilizzate dai criminali informatici per infiltrarsi nelle organizzazioni. Questi attacchi manipolativi si svolgono generalmente in quattro fasi:
- Raccolta di informazioni (il criminale informatico raccoglie informazioni sul bersaglio)
- Sviluppo della relazione (il criminale informatico si impegna con il bersaglio e guadagna la sua fiducia)
- Sfruttamento (il criminale informatico persuade il bersaglio a compiere un’azione)
- Esecuzione (le informazioni raccolte durante lo sfruttamento vengono utilizzate per eseguire l’attacco)
La prima fase è la più importante, poiché senza le informazioni giuste può essere difficile eseguire un attacco di ingegneria sociale mirato.
Strumenti usati
Ma come i criminali informatici raccolgono dati sui loro bersagli? I criminali informatici possono utilizzare cinque fonti di intelligence per raccogliere e analizzare informazioni sui loro bersagli. Sono:
- OSINT (Intelligence open source)
L’OSINT è una tecnica utilizzata dai criminali informatici per raccogliere e valutare informazioni pubblicamente disponibili su organizzazioni e persone. I criminali informatici possono utilizzare strumenti OSINT per imparare sull’infrastruttura IT e di sicurezza del bersaglio; asset vulnerabili come porte aperte e indirizzi email; indirizzi IP; vulnerabilità nei siti web, server e dispositivi IoT; credenziali rubate o rubate; e altro ancora. Gli attaccanti utilizzano queste informazioni per lanciare attacchi di ingegneria sociale.
- SOCMINT (Intelligence dei social media)
Anche se SOCMINT è un sottoinsieme di OSINT, merita una menzione separata. La maggior parte delle persone espone volontariamente dettagli personali e professionali sulla propria vita su piattaforme di social media popolari: il proprio ritratto, i propri interessi e passatempi, la propria famiglia, amici e connessioni, dove vivono e lavorano, la propria posizione lavorativa attuale e molti altri dettagli. Utilizzando strumenti SOCINT come Social Analyzer, Whatsmyname e NameCheckup.com, gli attaccanti possono filtrare l’attività e le informazioni su un individuo e progettare truffe di ingegneria sociale mirate.
- ADINT (Intelligence pubblicitaria)
Supponiamo che tu scarichi un’app di scacchi gratuita sul tuo telefono. C’è una piccola area nell’app che serve annunci basati sulla posizione di sponsor e organizzatori di eventi, che aggiorna gli utenti su giocatori locali, eventi e incontri di scacchi. Ogni volta che questo annuncio viene visualizzato, l’app condivide determinati dettagli sull’utente con il servizio di scambio di annunci, che include cose come indirizzi IP, il tipo di sistema operativo in uso (iOS o Android), il nome del vettore mobile, la risoluzione dello schermo, le coordinate GPS, ecc.
Di solito, gli scambi di annunci memorizzano e elaborano queste informazioni per visualizzare annunci pertinenti in base all’interesse, all’attività e alla posizione dell’utente. Gli scambi di annunci vendono anche questo prezioso dato. E se un attaccante o un governo canaglia acquistasse queste informazioni? Questo è esattamente ciò che le agenzie di intelligence e gli avversari hanno fatto per tenere traccia dell’attività e hackerare i loro bersagli.
- DARKINT (Intelligence del Dark Web)
Il Dark Web è un mercato illecito multimiliardario che transa servizi di spionaggio aziendale, kit di ransomware fai-da-te, droghe e armi, traffico di esseri umani, ecc. Miliardi di record rubati (dati personali, record sanitari, dati bancari e transazionali, dati aziendali, credenziali compromesse) sono disponibili per l’acquisto sul Dark Web.
I criminali informatici possono acquistare dati off-the-shelf e utilizzarli per le loro truffe di ingegneria sociale. Possono anche scegliere di esternalizzare professionisti che ingegnerizzano socialmente le persone per loro conto o scoprono vulnerabilità nascoste nelle organizzazioni target. Inoltre, ci sono forum online e piattaforme di messaggistica istantanea nascosti (come Telegram) dove le persone possono accedere alle informazioni sui potenziali bersagli.
- AI-INT (Intelligence dell’IA)
Alcuni analisti chiamano l’IA la sesta disciplina dell’intelligence, oltre alle cinque discipline principali. Con i recenti progressi nella tecnologia dell’IA generativa come Google Gemini e ChatGPT, non è difficile immaginare i criminali informatici che distribuiscono strumenti di IA per estrarre, assimilare, elaborare e filtrare informazioni sui loro bersagli.
I ricercatori sulla sicurezza stanno già segnalando la presenza di strumenti di IA malevoli che compaiono nei forum del Dark Web come FraudGPT e WormGPT. Tali strumenti possono ridurre drasticamente il tempo di ricerca per gli ingegneri sociali e fornire informazioni utilizzabili per eseguire truffe di ingegneria sociale.
Cosa possono fare le aziende per mitigare gli attacchi di ingegneria sociale?
La causa radice di tutti gli attacchi di ingegneria sociale è l’informazione e la gestione scarsa di essa. Se le aziende e i dipendenti possono ridurre l’esposizione dell’informazione, ridurranno significativamente gli attacchi di ingegneria sociale. Ecco come:
- Formazione del personale mensile: utilizzando simulatori di phishing e formazione in aula, insegna ai dipendenti a evitare di pubblicare informazioni sensibili o personali su se stessi, le loro famiglie, i loro colleghi o l’organizzazione.
- Elaborazione delle politiche AI: rendi chiari ai dipendenti qual è il comportamento accettabile e inaccettabile online. Ad esempio, richiedere a ChatGPT di eseguire una riga di codice o dati proprietari è inaccettabile; rispondere a richieste insolite o sospette senza una verifica adeguata è inaccettabile.
- Sfrutta gli stessi strumenti dei criminali informatici: utilizza le stesse fonti di intelligence evidenziate sopra per comprendere proattivamente quanta informazione sull’organizzazione, le persone e l’infrastruttura sia disponibile online. Sviluppa un processo continuo per ridurre quella esposizione.
La buona igiene informatica inizia reprimendo le cause alla radice. La causa principale del 80% al 90% di tutti i cyberattacchi è attribuita all’ingegneria sociale e al cattivo giudizio. Le organizzazioni devono concentrarsi su due cose principalmente: ridurre l’esposizione delle informazioni e controllare il comportamento umano tramite esercizi di formazione e istruzione. Applicando sforzi in queste due aree, le organizzazioni possono ridurre significativamente la loro esposizione ai rischi e l’impatto potenziale di quella esposizione.
Fonte: https://www.darkreading.com/vulnerabilities-threats/where-hackers-find-your-weak-spots
