Gli attacchi di ingegneria sociale coprono un’ampia gamma di tattiche dannose utilizzate da hacker e criminali per costringere gli utenti a divulgare informazioni private o violare le regole di sicurezza proprie o della compagnia per cui lavorano.
Gli aggressori guadagnano la fiducia dei loro obiettivi impersonandoli, manipolando la loro psicologia e mettendo in scena interazioni umane. Il tutto allo scopo di rubare le loro partecipazioni in criptovaluta, NFT o altri oggetti di valore.
L’incidenza delle truffe nei settori delle criptovalute, NFT e Web3 sta aumentando di pari passo con il diffondersi dell’adozione di queste tecnologie. Il phishing è un tipo di attacco di ingegneria sociale che i malintenzionati utilizzano per indurre gli utenti a rinunciare alle loro proprietà crittografiche, NFT o informazioni di accesso private.
Gli attacchi di phishing, ad esempio, sono aumentati del 170% nel secondo trimestre del 2022, secondo il rapporto trimestrale di CertiK Security. Inoltre, secondo un diverso studio della società di intelligence Cisco Talos, il Web3 e il metaverso saranno dominati da attacchi di ingegneria sociale come il phishing.
Indice dei contenuti
Che cosa è un attacco che utilizza l’ingegneria sociale?
Gli attacchi di ingegneria sociale sono una serie di diverse tecniche criminali per portare (o costringere) le vittime a consegnare informazioni importanti per la sicurezza. Gli aggressori guadagnano la fiducia dei loro obiettivi impersonandoli, manipolando la loro psicologia e mettendo in scena relazioni umane al fine di derubare i malcapitati.
In poche parole, l’ingegneria sociale si riferisce a qualsiasi attacco che sfrutta una debolezza umana, sociale o psicologica, piuttosto che l’abilità tecnica nel penetrare un sistema informatico.
La maggior parte di questi attacchi avviene su siti di social media come Discord e Telegram che trattano i temi blockchain e criptovaluta. Queste piattaforme sono più vulnerabili a tali truffe perché mancano di opzioni di verifica dell’account simili a Twitter. Ciò non implica, tuttavia, che le truffe di ingegneria sociale non si verifichino su altre piattaforme ampiamente utilizzate.
Per citare un esempio, gli account Twitter e YouTube dell’esercito britannico sono stati compromessi all’inizio di questo mese. Al fine di ingannare gli utenti incauti, gli aggressori hanno utilizzato questi profili per promuovere falsi progetti NFT e schemi di giveaway di criptovaluta. In un altro spiacevole episodio, nell’aprile 2022, l’account Instagram di Bored Apes Yacht Club (BAYC) è stato compromesso.
Condividendo siti Web di phishing, i criminali informatici sono stati in grado di rubare decine di NFT per un valore di svariati milioni di dollari.
Quali sono i tipi di attacco di ingegneria sociale più diffusi
I criminali hanno escogitato una enorme varietà di strategie ed espedienti per indurre gli utenti a “regalare” le loro risorse digitali online. Questo è il motivo per cui è difficile riconoscere tali schemi. Fortunatamente, una volta che sei consapevole di come funzionano questi espedienti e delle varie tattiche che impiegano, è semplice evitare di caderne vittima.
Alla luce di ciò, abbiamo compilato alcune delle forme più tipiche di attacchi di ingegneria sociale utilizzati nella società moderna.
1. Truffe relative agli investimenti e al lavoro su LinkedIn
l’FBI ha riferito all’inizio di giugno che LinkedIn si era trasformato in un ritrovo per criminali che gestiscono schemi di ingegneria sociale. Con il pretesto di opportunità di investimento e di lavoro, i criminali informatici attiravano le persone per rubare i loro portafogli di criptovaluta.
È interessante notare che questi truffatori conquistererebbero prima la fiducia delle loro vittime offrendo consigli di investimento autentici. Per poi solo in un momento successivo provare a condurle su siti Web loschi in cui i loro account vengono svuotati.
2. Phishing
Un attacco di phishing cerca di sfruttare le tendenze naturali delle persone verso la paura, l’urgenza e la curiosità. L’attacco arriverà probabilmente sotto forma di e-mail o messaggi di testo, portando la vittima a divulgare informazioni private su se stessa o sulle proprie finanze. Inoltre, un attacco di phishing potrebbe indirizzare l’utente a visitare un sito Web dannoso o scaricare un allegato che contiene malware.
Una tipica tecnica di phishing chiede agli utenti di inserire le credenziali di sicurezza per modificare le proprie password dopo averli avvisati di una presunta violazione delle policy. Sebbene questi messaggi possano sembrare sinceri, non lo sono!
Ad esempio, il più grande mercato NFT OpenSea ha rivelato il mese scorso che un dipendente disonesto di una terza parte aveva compromesso il suo database di posta elettronica. Per questo ha poi consigliato agli utenti di prestare attenzione alle e-mail di phishing. Diversi clienti hanno già pubblicato sui social media per lamentarsi di aver ricevuto numerose e-mail che sembravano truffe di phishing.
3. Adescamento
In questo particolare tipo di schema di ingegneria sociale, l’attaccante sfrutta l’avidità o la curiosità di una persona per ottenere informazioni private che possono essere utilizzate per causare più danni.
I supporti fisici, come un’unità flash con un download automatico di malware, sono la forma tipica di adescamento. Nel momento in cui il curioso cercatore collega il gadget al proprio computer, viene installato il malware, che consente ai criminali di accedere a portafogli crittografici e altri dati privati.
4. Truffe che coinvolgono l’amore su Tinder e altre app di appuntamenti
Questo è un ulteriore attacco di ingegneria sociale attualmente molto in voga. Simile alla truffa di LinkedIn, ma invece di usare una facciata professionale per ingannare le vittime, gioca sui loro sentimenti.
Dopo mesi di comunicazione, i truffatori a volte prestano denaro alle loro vittime, guadagnandosi la loro fiducia. Il tutto naturalmente prima di portarle ad app fraudolente di trading di criptovaluta che svuotano i loro portafogli.
5. Scareware
Questa tecnica di ingegneria sociale innesta paura nella vittima, per poi utilizzare la condizione emotiva alterata a proprio vantaggio. Il tuo dispositivo riceve ad esempio una raffica di notifiche e pop-up da truffatori che affermano che è presente malware.
Le vittime ricevevano frequentemente questi allarmi, i quali offrono assistenza chiedendo loro di scaricare software anti-malware. Tuttavia, fare clic su questi annunci pubblicitari installerebbe effettivamente malware sul computer della vittima con l’unico scopo di rubare dati.
6. Il Pretexting
Il pretexting è una forma spregevole di ingegneria sociale in cui una persona si atteggia a figura autoritaria, come un agente di polizia o un rappresentante del servizio clienti di un exchange di criptovalute.
In questo modo prova ad ottenere informazioni personali o finanziarie sensibili. Le informazioni personali delle vittime, compreso il loro indirizzo, numero di previdenza sociale, chiavi pubbliche e private, e quant’altro, sono ciò che mirano veramente a raccogliere.
Come difendersi dagli attacchi di ingegneria sociale
Gli attacchi all’ingegneria sociale mirano a sfruttare le debolezze umane come la curiosità negligente, l’avidità e la paura. Essendo vigili e attenti a qualsiasi cosa anche minimamente insolita, specialmente quando si tratta di condividere le proprie informazioni personali o sensibili, si può quindi prevenire la maggior parte di questi attacchi.
Ecco alcuni passaggi aggiuntivi che puoi eseguire per fermare questi attacchi:
- Utilizzare sempre programmi antivirus e antimalware, rigorosamente aggiornati, ed evitare di aprire e-mail e allegati sospetti. Oltre a non cliccare MAI sui link condivisi in gruppi pubblici o messaggi privati da contatti che non conosciao.
- Usare l’autenticazione a più fattori per ogni accesso a conti o piattaforme ove deteniamo oggetti di valore come criptovalute ed NFT.
- Non farsi abbagliare da offerte o regali ingiustificati.
Ad ogni modo, se ci si ritrova inconsapevolmente vittima di tali attacchi, l’autenticazione a 2 fattori e un software antimalware e antivirus efficace potrebbero essere in grado di sventare la maggior parte dei rischi connessi a tali pratiche.