Chiunque può essere ingannato da un blagger. Ecco cosa comporta e come puoi difenderti.

Blagging può sembrare una complicata tecnica di hacking, ma è molto più semplice di così. Ma pur non essendo "high-tech" come altri crimini informatici, il blagging può comunque causare seri danni se le aziende non sono preparate.

Quindi cos'è il blagging e come funziona?

Cos'è il blagging e come funziona?

Credito immagine: freepik

Blagging è quando subdoli truffatori cercano di ingannare o manipolare le persone affinché consegnino informazioni riservate a cui non dovrebbero avere accesso.

Questi blagger inventeranno qualsiasi storia di cui hanno bisogno per convincere il loro obiettivo a diffondere dati che potrebbero essere utilizzati per scopi loschi come il furto di identità, lo spionaggio di aziende o il ricatto di persone.

Quindi come funziona esattamente? Ecco alcune tecniche di blagging comuni:

  1. Furto d'identità: Il truffatore finge di essere qualcun altro, come un collega, un rappresentante di banca o un agente di polizia. Ciò crea fiducia e aumenta le probabilità che il target condivida informazioni riservate. Ad esempio, possono chiamare, fingendosi un tecnico IT che necessita di una password per risolvere un problema del computer.
    instagram viewer
  2. Creare un falso senso di urgenza: Il truffatore fa pressione sul bersaglio facendo sembrare la richiesta urgente. Le minacce di chiusura di un account o azioni legali vengono utilizzate per ottenere rapidamente informazioni prima che il bersaglio abbia il tempo di verificare la validità della richiesta.
  3. Phishing: I blagger lo faranno utilizzare e-mail di phishing o collegamenti contenenti malware per infettare sistemi bersaglio e rubare dati. Le e-mail sono create per apparire come se provenissero da una fonte attendibile per invogliare la vittima a fare clic o scaricare.
  4. Attacco di caduta USB: Questa tattica lascia infetti dispositivi carichi di malware come unità USB in luoghi pubblici dove è probabile che gli obiettivi li trovino e li colleghino, consentendo l'accesso al blagger. I parcheggi e gli ascensori sono luoghi popolari per adescare persone ignare.
  5. Abbandono di nomi: il truffatore menzionerà i nomi di manager, dirigenti o contatti legittimi per far sembrare che siano autorizzati ad avere informazioni altrimenti riservate. Ciò conferisce credibilità alla loro losca richiesta.
  6. Richieste di compassione: Il truffatore farà appello alla compassione del bersaglio, inventando storie singhiozzanti per manipolarlo. Dire cose come se fossero un genitore single che ha bisogno di soldi in un conto per sfamare la propria famiglia può funzionare.
  7. Quid pro quo: il truffatore promette qualcosa in cambio di informazioni, come un bonus, tempo libero o denaro. Certo, quelle sono promesse vuote usate per ottenere ciò che vogliono.
  8. Tailgating: Il blagger segue fisicamente un dipendente in un edificio o in un'area riservata per ottenere l'accesso. Contano sulle persone che tengono le porte aperte per gli altri o che non mettono in discussione la loro presenza.
  9. Elicitazione: I blagger cercheranno di impegnarsi in chiacchiere amichevoli per convincere gli obiettivi a rivelare inavvertitamente informazioni su sistemi, processi o vulnerabilità. È pericoloso perché sembra così innocuo.

La cosa fondamentale da ricordare è che questi aggressori sono maestri dell'inganno e diranno o faranno tutto il necessario per ottenere ciò che stanno cercando.

Come difendersi dagli attacchi violenti

Con i blagger che usano così tante tattiche subdole, come puoi proteggere te stesso e la tua azienda dalle loro truffe? Ecco alcuni modi chiave per difendersi dagli attacchi blagging.

Verifica reclami

Non prendere nessuno per oro colato, conferma sempre la sua storia.

Se qualcuno chiama, affermando di essere un supporto tecnico che necessita di accesso o un collega che necessita di informazioni, riaggancia e richiama utilizzando un numero ufficiale per confermare che è legittimo.

Controlla attentamente gli indirizzi e-mail, i nomi e le informazioni di contatto per assicurarti che corrispondano.

Convalida le richieste

In qualità di dipendente che lavora per un'azienda, esamina eventuali richieste insolite, anche se sembrano urgenti o la storia è credibile. Supponiamo che tu debba inoltrarlo a un supervisore o inviare un ticket attraverso i canali appropriati.

Rallenta l'interazione, così puoi indagare ulteriormente prima di consegnare dati riservati.

Limita l'accesso all'account

Gli imprenditori dovrebbero fornire l'accesso minimo di cui i dipendenti hanno bisogno per svolgere il proprio lavoro e nient'altro. Ad esempio, i rappresentanti del servizio clienti probabilmente non hanno bisogno di accedere ai sistemi finanziari. Questo contiene eventuali danni nel caso in cui un account venga compromesso.

Attuare il principio del privilegio minimo può impedire a un blagger di guadagnare troppo se inganna una persona.

Segnala sospetti

Non esitare a parlare se una richiesta ti sembra strana o se la storia non torna. Avvisa immediatamente la sicurezza o la direzione se sospetti che un'interazione sia un tentativo di blagging.

Inoltre, monitora attentamente i sistemi e il comportamento degli utenti per rilevare qualsiasi attività insolita che potrebbe indicare un tentativo di blagging. Cerca cose come:

  • Tentativi di accesso a sistemi non autorizzati o dati riservati.
  • Login remoti da indirizzi o posizioni IP sconosciuti.
  • Grandi volumi di dati trasferiti esternamente.
  • Anomalie nei modelli utente tipici come l'esecuzione di nuovi processi o orari di lavoro anomali.
  • Strumenti di sicurezza disabilitati come suite antivirus o richieste di accesso.

Prima viene segnalato il comportamento anomalo, più velocemente gli esperti possono indagare e mitigare un potenziale attacco blagging.

Formazione sulla consapevolezza della sicurezza

I dipendenti ben addestrati sono molto più difficili da ingannare per i blagger. La formazione continua rafforza il firewall umano e consente alle persone di fermare con sicurezza l'ingegneria sociale.

Quando i dipendenti sanno superare in astuzia le tattiche blagging, le aziende ottengono un grande vantaggio. La formazione dovrebbe includere esempi e scenari del mondo reale in modo che i dipendenti possano esercitarsi a rispondere in modo appropriato. Mettili alla prova con e-mail di phishing simulate e visitatori inaspettati per vedere le loro reazioni. Dovrebbe anche spiegare il comune tecniche blagging come pretesto, phishing e offerte quid pro quo. Più dipendenti capiscono le tattiche, meglio possono riconoscerle.

Insegna ai dipendenti come convalidare correttamente le richieste, verificare le identità, segnalare gli incidenti e gestire i dati sensibili in base alle policy. Fornire indicazioni chiare sulle azioni previste. Mantienilo interessante utilizzando video accattivanti, moduli interattivi e concorsi per mantenere l'attenzione sulla sicurezza. Aggiorna frequentemente l'allenamento.

E assicurati che i leader senior partecipino per dimostrare l'impegno organizzativo per la consapevolezza.

Usa la sicurezza a più livelli

Affidati a più controlli di sicurezza sovrapposti anziché a un singolo punto di errore.

Alcuni livelli che puoi implementare includono:

  • Controlli di sicurezza fisica come badge identificativi, strutture protette e monitoraggio CCTV per impedire il tailgating e l'accesso non autorizzato.
  • Difese perimetrali come firewall, IPS e filtri Web per bloccare l'accesso alla rete a minacce note e siti rischiosi.
  • Sicurezza degli endpoint con antivirus, rilevamento e risposta dell'endpointe crittografia per prevenire violazioni e rendere più difficile il furto di dati.
  • Sicurezza e-mail con gateway per filtrare e-mail dannose e sandboxing per isolare le minacce.
  • Controlli di accesso come autenticazione a più fattori e autorizzazioni basate sui ruoli per limitare l'uso improprio dell'account anche se le credenziali sono compromesse.
  • Strumenti di prevenzione della perdita di dati per fermare i grandi trasferimenti di dati riservati.

Più ostacoli ci sono per i blagger, più è probabile che vengano individuati.

Tieni alta la guardia contro il blagging

Mentre il blagging spesso prende di mira le aziende, tutti sono vulnerabili. Ognuno di noi potrebbe essere ingannato da una chiamata o un'e-mail apparentemente innocenti da parte di un truffatore che si spaccia per supporto tecnico, un rappresentante di banca o persino un membro della famiglia che ha bisogno di aiuto. Ecco perché tutti abbiamo bisogno di imparare le tecniche di blagging e sapere come individuare le bandiere rosse.

E se sei un imprenditore o gestisci un'azienda, non dovresti sottovalutare questa minaccia. Con una formazione completa sulla consapevolezza della sicurezza e difese tecniche a più livelli, puoi contrastare questi imbroglioni sulle loro tracce.

Con le giuste protezioni in atto, i blagger non hanno alcuna possibilità.