Mostra tutti

Ingegneria sociale – Siti di phishing e siti ingannevoli – Help for hacked website

Ingegneria sociale (siti di phishing e siti ingannevoli) – Help for hacked website

L’Arte dell’inganno corre su internet….

Con il termine “ingegneria sociale” si indicano contenuti che inducono con l’inganno i visitatori a fare qualcosa di pericoloso, ad esempio rivelare informazioni riservate o scaricare software. Se Google rileva che il tuo sito web include contenuti di ingegneria sociale, nel browser Chrome potrebbe essere visualizzato un avviso “Sito ingannevole in vista” quando i visitatori vogliono accedere al tuo sito. Puoi controllare se Google ritiene che alcune pagine del tuo sito contengano attacchi di ingegneria sociale consultando il rapporto “Problemi di sicurezza”.

Che cos’è l’ingegneria sociale?

Un attacco di ingegneria sociale consiste nell’indurre con l’inganno un utente del Web a fare qualcosa di pericoloso online.

Esistono diversi tipi di attacchi di ingegneria sociale. Un sito di phishing potrebbe indurre con l’inganno gli utenti a rivelare informazioni personali (ad esempio password, numeri di telefono o carte di credito). I contenuti ingannevoli (ad esempio un annuncio che comunica che il software del dispositivo è obsoleto anche se in realtà non è così) potrebbero indurre gli utenti a installare software indesiderato.

Un attacco di ingegneria sociale viene attuato in uno dei seguenti casi:

  • Gli autori dei contenuti fingono di essere entità attendibili, ad esempio un browser, un sistema operativo, una banca o un ente statale.
  • I contenuti tentano di indurti con l’inganno a compiere un’azione che svolgeresti solo per un’entità attendibile, ad esempio condividere una password, chiamare l’assistenza tecnica o scaricare software.

La funzione Navigazione sicura di Google protegge gli utenti del Web dall’ingegneria sociale avvisandoli prima della visualizzazione di contenuti ingannevoli.

hacked sites, Ingegneria sociale, phishing, hacker,

Qual è la differenza fra ingegneria sociale e phishing?

Il phishing è semplicemente un tipo di attacco di ingegneria sociale.

Ingegneria sociale in contenuti incorporati

L’ingegneria sociale può anche apparire in contenuti incorporati in siti altrimenti innocui, generalmente all’interno di annunci. I contenuti di ingegneria sociale incorporati rappresentano una violazione delle norme per la pagina host.

A volte i contenuti di ingegneria sociale incorporati sono visibili agli utenti nella pagina host, come mostrato negli esempi che seguono. In altri casi il sito host non contiene annunci visibili, ma indirizza gli utenti a pagine con ingegneria sociale tramite popup, pop-under o altri tipi di reindirizzamento. In entrambi i casi questo tipo di contenuti di ingegneria sociale incorporati rappresenta una violazione delle norme per la pagina host.

Ma io non faccio attacchi di ingegneria sociale!

I contenuti di ingegneria sociale ingannevoli potrebbero essere inclusi tramite risorse incorporate nelle pagine, ad esempio immagini, componenti di terze parti o annunci. Tali contenuti ingannevoli potrebbero indurre i visitatori del sito a scaricare software indesiderato.

La funzione Navigazione sicura di Google protegge gli utenti del Web dai contenuti ingannevoli tramite un avviso nelle pagine dei publisher in cui vengono regolarmente visualizzati annunci di ingegneria sociale.

E non è tutto: gli hacker potrebbero assumere il controllo di siti innocui al fine di utilizzarli per ospitare o diffondere contenuti di ingegneria sociale. L’hacker potrebbe modificare i contenuti del sito o aggiungere altre pagine, spesso con l’intento di indurre con l’inganno i visitatori a fornire informazioni personali quali i numeri delle carte di credito. Per scoprire se il tuo sito è stato identificato come sito web che ospita o diffonde contenuti di ingegneria sociale, consulta il rapporto Problemi di sicurezza di Search Console.

Hacked sites – Strumenti e metodi di attacco

Gli strumenti fisici utilizzati nell’ingegneria sociale sono vari, ma il principale rimane il telefono, attraverso il quale è possibile utilizzare il linguaggio desiderato e l’approccio esatto per aggirare il malcapitato. Anche email e siti web vengono utilizzati nell’attacco, creando un contesto in cui le immagini e il messaggio possono portare il malintenzionato a ottenere dati riservati con l’utilizzo di web form o applicazioni vere e proprie. Con la diffusione dei social network degli ultimi anni, l’ingegneria sociale è tornata a svilupparsi, avvantaggiandosi anche di sistemi semantici o crawler di informazioni. Ultimi strumenti non meno importanti sono semplicemente la voce e il vocabolario dell’ingegnere sociale, che attraverso lo studio del sistema da attaccare riesce ad adattarsi alla situazione in cui deve lavorare a scopo di non destare sospetti.

Le metodologie di attacco sfruttano principalmente tali tecnologie, avvantaggiandosi di tecniche psicologiche.

Pretexting

Il pretexting (“creazione di un pretesto”) consiste nel creare una falsa ambientazione con lo scopo di spingere un utente a divulgare delle informazioni o a commettere azioni che non sarebbero consuete nel contesto in cui opera. L’attaccante si immedesima in una certa entità, sfruttando alcuni dati acquisiti in precedenza (data di nascita, identificativo della carta d’identità,…), per entrare maggiormente nella mente della vittima. In alcuni casi, l’attaccante può simulare il comportamento di una certa autorità importante come polizia o banca, costringendo maggiormente la vittima a rispondere a tutte le domande che gli vengono poste. Se il tutto venisse fatto per telefono, un tono autoritario creerebbe uno scenario ancora più coinvolgente per la vittima.[10]

Phishing e vishing

Il phishing è una tecnica per ottenere informazioni in maniera fraudolenta. Solitamente si invia una mail alla vittima, facendola assomigliare il più possibile ad un messaggio inviato da una certa compagnia. La persona viene spinta a scaricare un allegato che presenta un malware o a cliccare un link interno alla mail che porta ad una pagina web molto simile a quella originale del fornitore del servizio, presentando un form da compilare dove in genere sono presenti campi come codice PIN bancario o password. Nell’ambito dell’ingegneria sociale è di uso frequente il phishing telefonico, anche chiamato vishing, nel quale viene simulato un contesto particolare come un call center, attraverso il quale è possibile avere maggiore fiducia da parte della persona coinvolta nell’attacco.

Della tecnica appena descritta è stato un grosso esponente Kevin Mitnick durante le sue scorrerie informatiche. Su questo tema Mitnick ha scritto un libro, L’arte dell’inganno.

Baiting e spazzatura informatica

Altro mezzo diffuso è il baiting che consiste, come si può intuire dal nome, nell’utilizzare un’esca per una persona in grado di accedere ad un determinato sistema (una sorta di cavallo di Troia). In pratica viene lasciato incustodito in un luogo comune (ingresso dell’azienda, bagno pubblico) un supporto di memorizzazione come una chiavetta USB o un hard disk in modo da stimolare la curiosità della vittima che con una certa probabilità prenderà l’oggetto (facendo leva dunque su desiderio e avidità). In seguito lo strumento potrà essere utilizzato nel sistema nel quale lavora l’attore coinvolto, accedendo così molto più facilmente ai dati personali o aziendali essendo già all’interno della rete locale (LAN).

Altro metodo utile per ottenere informazioni sulle persone, è attraverso la spazzatura. Molto spesso l’hardware viene buttato senza curarsi del fatto che i dati possano essere ancora presenti nel dispositivo e dunque ricavabili da altri. Per esempio, per cancellare i dati da un hard disk non basta fare una formattazione completa, ma è necessario applicare azioni fisiche sul dispositivo, come creare dei veri e propri buchi sui dischi. Bisogna ricorrere a queste misure drastiche poiché è possibile ricavare i dati attraverso software avanzati di ricostruzione dei dati, in grado di ricavare i dati eliminati anche in seguito a più formattazioni.

Se sei proprietario di un sito e vedi uno di questi messaggi…

hacked sites, Ingegneria sociale, phishing, hacker,

l tuo sito potrebbe essere stato compromesso

Ogni giorno, migliaia di siti web sono compromessi da criminali informatici. Le compromissioni sono spesso invisibili agli utenti, ma risultano dannose per chiunque visualizzi la pagina, incluso il proprietario del sito. Ad esempio, all’insaputa di quest’ultimo, l’hacker potrebbe aver infettato il sito con codice dannoso che registra i tasti premuti sui computer dei visitatori, scoprendo così le credenziali di accesso per i servizi bancari online o le transazioni finanziarie.

Help for hacked sites – Come risolvere il problema

Se il tuo sito è segnalato come contenente contenuti di ingegneria sociale, assicurati che la pagina non faccia attacchi con nessuna delle pratiche descritte negli esempi precedenti, quindi procedi come riportato di seguito:

  1. Verifica con Search Console.
    • Verifica di essere il proprietario del tuo sito in Search Console e che non siano stati aggiunti nuovi proprietari sospetti.
    • Controlla il rapporto Problemi di sicurezza per verificare se il tuo sito risulta essere un sito che attua attacchi di ingegneria sociale. Visita alcuni URL di esempio segnalati nel rapporto da un computer esterno alla rete su cui è pubblicato il tuo sito web (gli hacker più astuti potrebbero disattivare gli attacchi se pensano che il visitatore sia il webmaster del sito).
  2. Rimuovi i contenuti ingannevoli. Assicurati che nessuna pagina del tuo sito abbia contenuti ingannevoli.
  3. Se rilevi comportamenti di ingegneria sociale in contenuti incorporati (come gli annunci), verifica che nessun elemento nelle pagine del tuo sito (ad esempio annunci, immagini o altre risorse di terze parti incorporate) sia ingannevole. Tieni presente che le reti pubblicitarie potrebbero far ruotare gli annunci mostrati nelle pagine del tuo sito. Potresti, quindi, dover aggiornare alcune volte una pagina per visualizzare eventuali annunci di ingegneria sociale. Alcuni annunci potrebbero avere un aspetto diverso sui dispositivi mobili e sui computer desktop. Puoi utilizzare lo strumento Visualizza come Google per visualizzare entrambe le versioni del tuo sito, per dispositivi mobili e per desktop.
  4. Controlla le risorse di terze parti incluse nel tuo sito. Assicurati che nessun annuncio, nessuna immagine e nessuna risorsa di terze parti incorporata nelle pagine del sito sia ingannevole.
    • Tieni presente che le reti pubblicitarie potrebbero far ruotare gli annunci mostrati nelle pagine del tuo sito. Potresti, quindi, dover aggiornare alcune volte una pagina per visualizzare eventuali annunci di ingegneria sociale.
    • Alcuni annunci potrebbero avere un aspetto diverso sui dispositivi mobili e sui computer desktop. Puoi utilizzare lo strumento Visualizza come Google per visualizzare entrambe le versioni del tuo sito, per dispositivi mobili e per desktop.
  5. Richiedi un controllo. Dopo avere rimosso tutti i contenuti di ingegneria sociale dal tuo sito, puoi richiedere un controllo della sicurezza nel rapporto Problemi di sicurezza. Per il completamento del controllo potrebbero occorrere due o tre giorni.

Come controllare se un sito è stato hackerato o è vittima di ingegneria sociale

Vuoi controllare se il tuo sito ha link di spam, redirect, o se in altro modo sembra essere stato violato. Inserisci il link su www.isithacked.com che funziona sulle piattaforme: Joomla, Drupal, WordPress, Magento, PrestaShop, laravel, Codeigniter, Symfony.

libro vita da hacker

Ti potrebbero interessare

19 Luglio 2024

 Panorama delle minacce su Internet nel 2024

Continua
5 Febbraio 2024

EU AI ACT: la nuova normativa Europea sull’Intelligenza Artificiale

Continua
29 Gennaio 2024

Essere un imprenditore digitale nel 2024: strategie e sfide

Continua
5 Gennaio 2024

La nuova Politica dei Cookie di Google del 2024

Continua
5 Gennaio 2024

Tesla Optimus Gen 2: un nuovo capitolo nell’Innovazione dei robot umanoidi

Continua
22 Dicembre 2023

Vita da Hacker: Dal Commodore 64 all’Intelligenza Artificiale

Continua
8 Giugno 2020

Content Marketing – Come creare contenuti ed essere originali online

Continua
26 Gennaio 2020

Email temporanea senza registrazione: naviga in sicurezza e sfrutta al meglio il Web

Continua
18 Gennaio 2020

Microsoft Browser Edge – Il nuovo aggiornamento basato sul motore Chromium

Continua
14 Gennaio 2020

Vulnerabilità critiche nei sistemi operativi Microsoft Windows – AA20-014A

Continua
10 Ottobre 2019

Cybersecurity Awareness Month 2019 – Più responsabilità individuale per la sicurezza informatica

Continua
9 Ottobre 2019

IOCTA 2019 – Valutazione annuale delle minacce alla criminalità organizzata su Internet

Continua
29 Settembre 2019

Sicurezza e cittadinanza digitale – Come utilizzare la tecnologia con buon senso

Continua
22 Settembre 2019

Come proteggere la tua azienda dai malware gratuitamente

Continua
17 Settembre 2019

Simjacker – Ecco come spiare i telefoni cellulari

Continua
14 Settembre 2019

DIGITAL BODYGUARD SERVICE – Guardia del corpo digitale per la tua privacy e reputazione online

Continua
11 Settembre 2019

Opzioni e valutazione delle impostazioni di sicurezza del browser Web

Continua
11 Settembre 2019

Cosa sono ed a cosa servono i cookie ed il contenuto attivo

Continua
30 Agosto 2019

Come proteggersi dai rischi legati all’uso dei social network

Continua
24 Agosto 2019

Cyber Health Check – Controllo dello stato cibernetico privato ed aziendale

Continua
21 Agosto 2019

Off-Facebook Activity – Il nuovo strumento per la privacy di Facebook

Continua
5 Agosto 2019

Come proteggere la Smart TV dalle minacce della rete

Continua
25 Luglio 2019

Privacy: Stop allo spam per i titolari delle fidelity card

Continua
16 Luglio 2019

Come difendersi dalle truffe online ed acquistare in sicurezza

Continua
4 Giugno 2019

Video Marketing come sono nati i video musicali dei brand

Continua
2 Maggio 2019

Come mandare messaggi WhastApp multipli a tutti i contatti da pc

Continua
9 Aprile 2019

SMAU | Italy RestartsUp in London – Meet the Made in Italy Innovation

Continua
2 Aprile 2019

Penetration tester su piattaforma Windows – Comando VM Windows Offensive Distribution

Continua
15 Marzo 2019

Android Rogue Adware – Ecco la lista delle applicazioni infette dal codice “Simbad”

Continua
15 Marzo 2019

Educazione civica digitale e alla sicurezza online in Italia

Continua
12 Marzo 2019

Rischi e consigli per i pagamenti “Contactless”

Continua
11 Marzo 2019

Servizio di Scambio File in ambito eBay

Continua
27 Febbraio 2019

Come usare Metasploit Cheat Sheet

Continua
27 Febbraio 2019

Quanto la realtà virtuale influenza la pubblicità e le attività di advertising

Continua
8 Febbraio 2019

Consulenti del lavoro – Quando sono responsabili del trattamento dei dati

Continua
1 Febbraio 2019

Safer Internet Day 2019 (SID) – Insieme per un internet migliore

Continua