End of Ransomware and Cryptolocker – Sophos Synchronized Security – Milano 16 Marzo 2017
22 febbraio 2017
Come trasferire file ed impostazioni da un computer vecchio ad un computer nuovo
25 febbraio 2017
Mostra tutti

Ingegneria sociale – Siti di phishing e siti ingannevoli – Help for hacked website

Ingegneria sociale (siti di phishing e siti ingannevoli) – Help for hacked website

L’Arte dell’inganno corre su internet….

Con il termine “ingegneria sociale” si indicano contenuti che inducono con l’inganno i visitatori a fare qualcosa di pericoloso, ad esempio rivelare informazioni riservate o scaricare software. Se Google rileva che il tuo sito web include contenuti di ingegneria sociale, nel browser Chrome potrebbe essere visualizzato un avviso “Sito ingannevole in vista” quando i visitatori vogliono accedere al tuo sito. Puoi controllare se Google ritiene che alcune pagine del tuo sito contengano attacchi di ingegneria sociale consultando il rapporto “Problemi di sicurezza”.

Che cos’è l’ingegneria sociale?

Un attacco di ingegneria sociale consiste nell’indurre con l’inganno un utente del Web a fare qualcosa di pericoloso online.

Esistono diversi tipi di attacchi di ingegneria sociale. Un sito di phishing potrebbe indurre con l’inganno gli utenti a rivelare informazioni personali (ad esempio password, numeri di telefono o carte di credito). I contenuti ingannevoli (ad esempio un annuncio che comunica che il software del dispositivo è obsoleto anche se in realtà non è così) potrebbero indurre gli utenti a installare software indesiderato.

Un attacco di ingegneria sociale viene attuato in uno dei seguenti casi:

  • Gli autori dei contenuti fingono di essere entità attendibili, ad esempio un browser, un sistema operativo, una banca o un ente statale.
  • I contenuti tentano di indurti con l’inganno a compiere un’azione che svolgeresti solo per un’entità attendibile, ad esempio condividere una password, chiamare l’assistenza tecnica o scaricare software.

La funzione Navigazione sicura di Google protegge gli utenti del Web dall’ingegneria sociale avvisandoli prima della visualizzazione di contenuti ingannevoli.

hacked sites, Ingegneria sociale, phishing, hacker,

Qual è la differenza fra ingegneria sociale e phishing?

Il phishing è semplicemente un tipo di attacco di ingegneria sociale.

Ingegneria sociale in contenuti incorporati

L’ingegneria sociale può anche apparire in contenuti incorporati in siti altrimenti innocui, generalmente all’interno di annunci. I contenuti di ingegneria sociale incorporati rappresentano una violazione delle norme per la pagina host.

A volte i contenuti di ingegneria sociale incorporati sono visibili agli utenti nella pagina host, come mostrato negli esempi che seguono. In altri casi il sito host non contiene annunci visibili, ma indirizza gli utenti a pagine con ingegneria sociale tramite popup, pop-under o altri tipi di reindirizzamento. In entrambi i casi questo tipo di contenuti di ingegneria sociale incorporati rappresenta una violazione delle norme per la pagina host.

Ma io non faccio attacchi di ingegneria sociale!

I contenuti di ingegneria sociale ingannevoli potrebbero essere inclusi tramite risorse incorporate nelle pagine, ad esempio immagini, componenti di terze parti o annunci. Tali contenuti ingannevoli potrebbero indurre i visitatori del sito a scaricare software indesiderato.

La funzione Navigazione sicura di Google protegge gli utenti del Web dai contenuti ingannevoli tramite un avviso nelle pagine dei publisher in cui vengono regolarmente visualizzati annunci di ingegneria sociale.

E non è tutto: gli hacker potrebbero assumere il controllo di siti innocui al fine di utilizzarli per ospitare o diffondere contenuti di ingegneria sociale. L’hacker potrebbe modificare i contenuti del sito o aggiungere altre pagine, spesso con l’intento di indurre con l’inganno i visitatori a fornire informazioni personali quali i numeri delle carte di credito. Per scoprire se il tuo sito è stato identificato come sito web che ospita o diffonde contenuti di ingegneria sociale, consulta il rapporto Problemi di sicurezza di Search Console.

Hacked sites – Strumenti e metodi di attacco

Gli strumenti fisici utilizzati nell’ingegneria sociale sono vari, ma il principale rimane il telefono, attraverso il quale è possibile utilizzare il linguaggio desiderato e l’approccio esatto per aggirare il malcapitato. Anche email e siti web vengono utilizzati nell’attacco, creando un contesto in cui le immagini e il messaggio possono portare il malintenzionato a ottenere dati riservati con l’utilizzo di web form o applicazioni vere e proprie. Con la diffusione dei social network degli ultimi anni, l’ingegneria sociale è tornata a svilupparsi, avvantaggiandosi anche di sistemi semantici o crawler di informazioni. Ultimi strumenti non meno importanti sono semplicemente la voce e il vocabolario dell’ingegnere sociale, che attraverso lo studio del sistema da attaccare riesce ad adattarsi alla situazione in cui deve lavorare a scopo di non destare sospetti.

Le metodologie di attacco sfruttano principalmente tali tecnologie, avvantaggiandosi di tecniche psicologiche.

Pretexting

Il pretexting (“creazione di un pretesto”) consiste nel creare una falsa ambientazione con lo scopo di spingere un utente a divulgare delle informazioni o a commettere azioni che non sarebbero consuete nel contesto in cui opera. L’attaccante si immedesima in una certa entità, sfruttando alcuni dati acquisiti in precedenza (data di nascita, identificativo della carta d’identità,…), per entrare maggiormente nella mente della vittima. In alcuni casi, l’attaccante può simulare il comportamento di una certa autorità importante come polizia o banca, costringendo maggiormente la vittima a rispondere a tutte le domande che gli vengono poste. Se il tutto venisse fatto per telefono, un tono autoritario creerebbe uno scenario ancora più coinvolgente per la vittima.[10]

Phishing e vishing

Il phishing è una tecnica per ottenere informazioni in maniera fraudolenta. Solitamente si invia una mail alla vittima, facendola assomigliare il più possibile ad un messaggio inviato da una certa compagnia. La persona viene spinta a scaricare un allegato che presenta un malware o a cliccare un link interno alla mail che porta ad una pagina web molto simile a quella originale del fornitore del servizio, presentando un form da compilare dove in genere sono presenti campi come codice PIN bancario o password. Nell’ambito dell’ingegneria sociale è di uso frequente il phishing telefonico, anche chiamato vishing, nel quale viene simulato un contesto particolare come un call center, attraverso il quale è possibile avere maggiore fiducia da parte della persona coinvolta nell’attacco.

Della tecnica appena descritta è stato un grosso esponente Kevin Mitnick durante le sue scorrerie informatiche. Su questo tema Mitnick ha scritto un libro, L’arte dell’inganno.

Baiting e spazzatura informatica

Altro mezzo diffuso è il baiting che consiste, come si può intuire dal nome, nell’utilizzare un’esca per una persona in grado di accedere ad un determinato sistema (una sorta di cavallo di Troia). In pratica viene lasciato incustodito in un luogo comune (ingresso dell’azienda, bagno pubblico) un supporto di memorizzazione come una chiavetta USB o un hard disk in modo da stimolare la curiosità della vittima che con una certa probabilità prenderà l’oggetto (facendo leva dunque su desiderio e avidità). In seguito lo strumento potrà essere utilizzato nel sistema nel quale lavora l’attore coinvolto, accedendo così molto più facilmente ai dati personali o aziendali essendo già all’interno della rete locale (LAN).

Altro metodo utile per ottenere informazioni sulle persone, è attraverso la spazzatura. Molto spesso l’hardware viene buttato senza curarsi del fatto che i dati possano essere ancora presenti nel dispositivo e dunque ricavabili da altri. Per esempio, per cancellare i dati da un hard disk non basta fare una formattazione completa, ma è necessario applicare azioni fisiche sul dispositivo, come creare dei veri e propri buchi sui dischi. Bisogna ricorrere a queste misure drastiche poiché è possibile ricavare i dati attraverso software avanzati di ricostruzione dei dati, in grado di ricavare i dati eliminati anche in seguito a più formattazioni.

Se sei proprietario di un sito e vedi uno di questi messaggi…

hacked sites, Ingegneria sociale, phishing, hacker,

l tuo sito potrebbe essere stato compromesso

Ogni giorno, migliaia di siti web sono compromessi da criminali informatici. Le compromissioni sono spesso invisibili agli utenti, ma risultano dannose per chiunque visualizzi la pagina, incluso il proprietario del sito. Ad esempio, all’insaputa di quest’ultimo, l’hacker potrebbe aver infettato il sito con codice dannoso che registra i tasti premuti sui computer dei visitatori, scoprendo così le credenziali di accesso per i servizi bancari online o le transazioni finanziarie.

Help for hacked sites – Come risolvere il problema

Se il tuo sito è segnalato come contenente contenuti di ingegneria sociale, assicurati che la pagina non faccia attacchi con nessuna delle pratiche descritte negli esempi precedenti, quindi procedi come riportato di seguito:

  1. Verifica con Search Console .
    • Verifica di essere il proprietario del tuo sito in Search Console e che non siano stati aggiunti nuovi proprietari sospetti.
    • Controlla il rapporto Problemi di sicurezza per verificare se il tuo sito risulta essere un sito che attua attacchi di ingegneria sociale. Visita alcuni URL di esempio segnalati nel rapporto da un computer esterno alla rete su cui è pubblicato il tuo sito web (gli hacker più astuti potrebbero disattivare gli attacchi se pensano che il visitatore sia il webmaster del sito).
  2. Rimuovi i contenuti ingannevoli. Assicurati che nessuna pagina del tuo sito abbia contenuti ingannevoli.
  3. Se rilevi comportamenti di ingegneria sociale in contenuti incorporati (come gli annunci), verifica che nessun elemento nelle pagine del tuo sito (ad esempio annunci, immagini o altre risorse di terze parti incorporate) sia ingannevole. Tieni presente che le reti pubblicitarie potrebbero far ruotare gli annunci mostrati nelle pagine del tuo sito. Potresti, quindi, dover aggiornare alcune volte una pagina per visualizzare eventuali annunci di ingegneria sociale. Alcuni annunci potrebbero avere un aspetto diverso sui dispositivi mobili e sui computer desktop. Puoi utilizzare lo strumento Visualizza come Google per visualizzare entrambe le versioni del tuo sito, per dispositivi mobili e per desktop.
  4. Controlla le risorse di terze parti incluse nel tuo sito . Assicurati che nessun annuncio, nessuna immagine e nessuna risorsa di terze parti incorporata nelle pagine del sito sia ingannevole.
    • Tieni presente che le reti pubblicitarie potrebbero far ruotare gli annunci mostrati nelle pagine del tuo sito. Potresti, quindi, dover aggiornare alcune volte una pagina per visualizzare eventuali annunci di ingegneria sociale.
    • Alcuni annunci potrebbero avere un aspetto diverso sui dispositivi mobili e sui computer desktop. Puoi utilizzare lo strumento Visualizza come Google per visualizzare entrambe le versioni del tuo sito, per dispositivi mobili e per desktop.
  5. Richiedi un controllo. Dopo avere rimosso tutti i contenuti di ingegneria sociale dal tuo sito, puoi richiedere un controllo della sicurezza nel rapporto Problemi di sicurezza. Per il completamento del controllo potrebbero occorrere due o tre giorni.

Come controllare se un sito è stato hackerato o è vittima di ingegneria sociale

Vuoi controllare se il tuo sito ha link di spam, redirect, o se in altro modo sembra essere stato violato. Inserisci il link su www.isithacked.com che funziona sulle piattaforme: Joomla, Drupal, WordPress, Magento, PrestaShop, laravel, Codeigniter, Symfony.

Valutazione Media
Last Reviewer
Reviewed Item
Ingegneria sociale - Siti di phishing e siti ingannevoli Help for hacked sites
Rating
51star1star1star1star1star
Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at ErreBi Group S.r.l.
Ethical Hacker | Blogger | Developer | Graphic & Web Designer | Consulente d'Immagine | Social Media Marketing Manager | Copywriter | SEO Specialist | Digital Influencer