Il social engineering è in continua ascesa, a quanto sembra. Il panico da pandemia, i timori legati alla perdita del proprio posto di lavoro, le preoccupazioni lato salute e benessere: tutti elementi che hanno contribuito ad aumentare la paura, un sentimento che può essere molto lucrativo per i criminal hacker, soprattutto quando utilizzano le leve dell’ingegneria sociale.
E da questo punto di vista, negli ultimi mesi, si sono viste interessanti novità dal punto di vista pratico-applicativo.
Indice degli argomenti
Attenti ai QR code malevoli
I QR code, codici a matrice, bianchi e neri, leggibili da macchine, sono diventati ancora più popolari per la fornitura di servizi al consumo durante la pandemia da Covid-19. Ad esempio, molti ristoranti li utilizzano per rendere disponibile il menu ai propri clienti, invece di utilizzarne uno cartaceo, fonte di contatto e possibile trasmissione virale. Il tutto nel solco di un servizio no-contact o contactless sempre più comune.
Ma molti dei siti web, sui quali vengono reindirizzati gli utenti che scansionano i codici, sono gestiti da terzi. Una volta scansionato, il QR code può portare lo smartphone su destinazioni pericolose, in maniera simile al clic su di un link pericoloso. Stesso concetto, nuova presentazione.
Dirottamento delle notifiche del browser
Molti siti web hanno preso l’abitudine a chiedere ai propri visitatori di consentire le notifiche. Un tempo, questo era un modo utile per tenersi in contatto con i propri lettori e mantenerli aggiornati ma ora si è trasformato (talvolta) in uno strumento di social engineering.
Queste “push notifications” possono essere trasformate in vere e proprie armi, dopo che un utente ha acconsentito, cliccando “Sì” sul relativo messaggio di richiesta. Sebbene molti utenti abbiano imparato a usare una certa cautela verso questo tipo di strumenti, le persone meno attente potrebbero ancora cadere “in trappola”.
Anche perché gli aggressori potrebbero camuffare il sì in maniera truffaldina, ad esempio dietro a un sistema di verifica CAPTCHA, o scambiando le posizioni del “Sì” e del “No” durante il clic.
Una volta “dato” il consenso, si aprono le porte a migliaia di messaggi, spesso basati su schemi di phishing o notifiche dannose che contengono malware.
Finte collaborazioni
Con questa tattica di social engineering, i cyber criminali mettono nel mirino professionisti in determinati campi in cui la cooperazione è comune come designer, sviluppatori e anche ricercatori di cyber security.
Il recente lockdown e l’ampia estensione del lavoro da casa ha abbassato il livello di soglia di molti lavoratori digitali, rendendo più efficace questa tattica. E quindi viene, ad esempio, inviato un Visual Studio Project che contiene del codice dannoso. Il destinatario apre il file e il dispositivo viene infettato.
Un attacco che sfrutta in un certo senso il desiderio e la volontà di aiutare gli altri in un progetto riguardante una passione comune.
Attacco alla supply chain
Uno dei problemi principali di questo periodo sarebbe proprio lo spoofing di fornitori che fanno parte della supply chain delle nostre aziende. E in questo caso si può trattare di e-mail, apparentemente innocue, provenienti da quello che sembra essere un partner affidabile ma dietro il quale, in realtà, si nasconde un criminal hacker.
Un attacco che rientra nella grande categoria del phishing, con connotazioni sempre più precise e mirate. Ovvero, e-mail lunghe e sofisticate in cui si cerca di costruire un rapporto di fiducia con “colleghi di lavoro”, promettendo o richiedendo aiuto.
Creando questo legame di fiducia, è possibile per gli aggressori rendere più efficaci tattiche di social engineering standard tramite le quali è possibile aggirare i sistemi di controllo e rilasciare malware in grado di compromettere il sistema informatico dell’obiettivo.
Video o audio deepfake
L’intelligenza artificiale è diventata anche strumento per il social engineering, al fine di registrare audio e video realistici per simulare l’aspetto fisico o il tono di voce di una persona specifica: questo al fine di farsi rivelare informazioni sensibili e utili per porre a segno l’attacco.
Uno dei casi più chiari in tal senso è quello di una finta registrazione della voce di un amministratore delegato che chiedeva a uno dei suoi dipendenti di inviare immediatamente un bonifico a un conto internazionale.
Truffa con SMS (smishing)
Se da un lato i contenuti testuali sono da tempo mezzo per le truffe di social engineering, in questi ultimi mesi l’approccio sta diventando prominente.
Un numero sempre maggiore di persone è più abituato a comunicare per via testuale invece che per via vocale. Anche a comunicare informazioni confidenziali.
Fra le truffe in questa categoria possiamo citare quello del finto messaggio che annuncia l’arrivo della consegna di un pacco o della spesa a domicilio, oppure messaggi che promettono informazioni su sussidi legati alla Covid-19 contenenti un link a un sito con maggiori informazioni a riguardo.
Come nel caso dei QR code, le vittime non hanno ancora sviluppato gli “anticorpi” necessari, fatti innanzitutto di consapevolezza, per far fronte a questa nuova minaccia.
Typosquatting o domini fotocopia
Il typosquatting, ovvero la creazione di siti quasi del tutto identici a realtà web affidabili e consolidate, sotto un nome dominio leggermente diverso rispetto a quello originale, è un fenomeno in espansione.
L’obiettivo è far credere ai visitatori di trovarsi all’interno del sito legittimo e di poter condividere senza rischi i propri dati.
I criminali utilizzano questi siti non solo per rilasciare malware ma anche per sottrarre dati relativi a carte di credito o altre informazioni sensibili attraverso moduli di contatto o di login.
Attenzione massima e consapevolezza sono gli elementi fondamentali per tenersi al sicuro da queste nuove minacce.
Non abbassiamo la guardia.
