Proteggi i 13 componenti critici di Entra ID con Barracuda Entra ID Backup Premium.

Social engineering

Sommario

Cos'è l'ingegneria sociale?

L'ingegneria sociale è la manipolazione psicologica delle persone nella speranza di ottenere accesso a informazioni riservate o sistemi. È una forma di truffa finalizzata alla raccolta di informazioni, frode o accesso ai sistemi.

Gli attacchi utilizzati nell'ingegneria sociale possono essere impiegati per rubare informazioni o dati riservati dei dipendenti, e il tipo più comune di ingegneria sociale avviene tramite telefono o e-mail. Altri esempi di attacchi di ingegneria sociale includono criminali che si spacciano per lavoratori di servizio o tecnici, in modo da passare inosservati quando accedono al sito fisico di un'azienda.

principi di ingegneria sociale

I principali metodi che i criminali informatici utilizzano per perpetrare l'ingegneria sociale esistono da molto tempo. Si basano su principi psicologici fondamentali sul comportamento umano — gli attaccanti utilizzano questi principi per ottenere accesso a dati o informazioni sensibili.

  • Reciprocità: Le persone tendono a ricambiare un favore. Ad esempio, se un attaccante è in qualche modo generoso o premuroso, la vittima potrebbe sentirsi obbligata a fornire un accesso speciale o a violare regole critiche.
  • Impegno: Quando qualcuno si impegna, oralmente o per iscritto, a fare qualcosa, diventa più disposto a mantenere il suo impegno perché lo considera una responsabilità personale da adempiere. Ad esempio, sui siti d'aste, le persone si lasciano intrappolare nell'offerta di un prezzo più alto di quanto inizialmente previsto perché desiderano "vincere" l'oggetto in questione, indipendentemente dal valore reale dell'oggetto.
  • Prova sociale: Le persone faranno cose che vedono fare ad altre persone. Ad esempio, un prodotto software approvato da una celebrità avrà un maggiore senso di valore per le persone, indipendentemente dalla sua qualità, a causa dell'approvazione.
  • Autorità: Le persone tendono a obbedire alle figure autoritarie, anche se viene chiesto loro di compiere atti discutibili. In un attacco di ingegneria sociale, ciò potrebbe portare un dipendente di un'organizzazione presa di mira a fornire informazioni a un chiamante che si finge un ufficiale delle forze dell'ordine.
  • Gradimento: Le persone sono facilmente persuadibili da altre persone che gradiscono. Essere semplicemente piacevoli e amichevoli è spesso sufficiente per consentire un accesso speciale a un hacker.

Principali forme di ingegneria sociale

I criminali informatici usano l'ingegneria sociale per amministrare efficacemente una serie di attacchi informatici:

  • Phishing: Una tecnica per ottenere informazioni riservate attraverso mezzi manipolativi. Tipicamente, il phisher invierà un'e-mail che sembra provenire da un'azienda legittima richiedendo l'autenticazione delle informazioni e avvisando la vittima di complicazioni nel caso in cui non vengano fornite. Questa minaccia porta la vittima a rivelare informazioni sensibili.
  • Water holing: Una strategia di social engineering mirata che sfrutta la fiducia che gli utenti hanno nei siti web che visitano regolarmente. La vittima si sente al sicuro nel fare cose che non farebbe in una situazione diversa. L'attaccante prepara quindi una trappola per la vittima nel luogo fidato.
  • Quid pro quo: Un attaccante contatta persone a caso in un'azienda, affermando di chiamare per un motivo legittimo. Questa persona troverà alla fine qualcuno con un problema reale, che sarà grato per l'aiuto proattivo. Cercheranno quindi di ottenere informazioni sensibili dalla vittima mentre assistono con il loro problema.

Difese di Social Engineering

Esistono numerose difese disponibili per le aziende che aiuteranno a proteggersi dai principali tentativi di ingegneria sociale sui loro dipendenti:

  • Stabilire un quadro di fiducia standard: Stabilire un solido quadro di fiducia a livello di dipendente/personale formando il personale su come gestire le informazioni sensibili.
  • Esaminare le informazioni: Identificare quali informazioni sono sensibili e valutare la loro esposizione all'ingegneria sociale e ai guasti nei sistemi di sicurezza.
  • Seguire i protocolli di sicurezza: Stabilire protocolli di sicurezza, politiche e procedure per la gestione delle informazioni sensibili. Formazione dei dipendenti: Formare i dipendenti sui protocolli di sicurezza pertinenti alla loro posizione.
  • Test periodici: Sviluppare un framework è importante, ma è altrettanto importante che i dipendenti vengano testati per assicurarsi che stiano assimilando le informazioni. Eseguire test per vedere come i dipendenti reagiscono a esperimenti controllati di ingegneria sociale può aiutare a indirizzare la formazione e le discussioni nella giusta direzione.

Perché l'ingegneria sociale è importante

I sistemi umani creati attorno alla tecnologia sono costantemente l'anello più debole nella catena di sicurezza. L'attenzione ai dettagli durante la creazione di infrastrutture di formazione e sicurezza può aiutare a proteggere le aziende dagli attacchi informatici e dalle loro conseguenze correlate.

Per saperne di più sull'ingegneria sociale

Termini correlati

In che modo Barracuda può essere di aiuto

Protezione dell'e-mail Barracuda è una soluzione completa e facile da usare che offre difesa del gateway, protezione dal furto d'identità e phishing basata su API, incident response, protezione dei dati, conformità e training per la consapevolezza dell'utente. Le sue funzionalità possono prevenire attacchi di ingegneria sociale:

Protezione dal furto d'identità è una soluzione di difesa della casella di posta basata su API che protegge da Business Email Compromise, furto di account, spear phishing e altre frodi informatiche. Combina intelligenza artificiale e integrazione profonda con Microsoft Office 365 in una soluzione completa basata su cloud.

La sua architettura unica basata su API consente al motore IA di studiare le email storiche e apprendere i modelli di comunicazione unici degli utenti. Blocca gli attacchi di phishing che raccolgono credenziali e portano al furto di account, e fornisce la remediation in tempo reale.

Il Training per la sensibilizzazione sulla sicurezza è una soluzione di consapevolezza della sicurezza e simulazione del phishing progettata per proteggere la tua organizzazione da attacchi di phishing mirati. Il Training per la sensibilizzazione sulla sicurezza forma i dipendenti a comprendere le ultime tecniche di ingegneria sociale e phishing, a riconoscere indizi sottili di phishing e a prevenire frodi via e-mail, perdita di dati e danni al marchio. Il Training per la sensibilizzazione sulla sicurezza trasforma i dipendenti da un potenziale rischio per la sicurezza e-mail a una potente linea di difesa contro attacchi di phishing dannosi.

Incident Response automatizza l'incident response e fornisce opzioni di remediation per affrontare i problemi in modo più rapido ed efficiente. Gli amministratori possono inviare avvisi agli utenti interessati e mettere in quarantena le email dannose direttamente dalle loro caselle di posta in arrivo con un paio di clic. Le funzionalità di discovery e threat insights fornite dalla piattaforma di Incident Response aiutano a identificare anomalie nelle email consegnate, offrendo modi più proattivi per rilevare le minacce e-mail.

Hai altre domande su Social Engineering? Contattaci oggi stesso!

Chiama il numero +1 617 948 5300

Assistenza via e-mail

Ricevi assistenza da Barracuda

Informazioni sull'azienda

I nostri siti web

Contatti

Note legali

© 2003 – 2025 Barracuda Networks, Inc. Tutti i diritti riservati