Il fattore umano: l’anello debole nella catena della security


Aprile 13, 2019 Facebook Twitter LinkedIn Google+ ALLERTA PERICOLI INFORMATICI



Allerta Pericoli Informatici : scarica la nostra app e rimani sempre informato :


Servizio di Allerta Pericoli Informatici

Le tecniche di Social Engineering sfruttano la vulnerabilità del fattore umano, l’anello più debole nella catena della gestione della security aziendale. Per quanto sembri un concetto scontato e ormai passato di moda, vista anche la crescente attenzione mediatica dedicata al tema della sicurezza informatica negli ultimi anni, il comportamento umano è all’origine di numerosi data breach
Il comportamento umano continua a rappresentare un elemento di rischio persistente, che costituisce per le aziende la principale vulnerabilità in termini di sicurezza. È quanto emerge dalla Ricerca condotta nel 2018 dall’Osservatorio Information Security & Privacy del Politecnico di Milano: tra le diverse tipologie di vulnerabilità che hanno aumentato l’esposizione al rischio delle organizzazioni intervistate nel corso degli ultimi 12 mesi, emergono fattori legati alla tecnologia, come la presenza di sistemi IT obsoleti o eterogenei o aggiornamenti e patch non effettuati con regolarità, ma sono la distrazione e la scarsa consapevolezza dei dipendenti a rappresentare ancora una volta la criticità prevalente per l’82% delle aziende [1].

Oltre a investimenti in tecnologie di sicurezza orientate a proteggere l’organizzazione da attacchi provenienti dall’esterno, è quindi fondamentale non sottovalutare i rischi provenienti dall’interno dell’organizzazione: i cybercriminali spesso non utilizzano sistemi tecnologici particolarmente sofisticati, ma sfruttano aspetti del comportamento umano, come la poca attenzione o la mancanza di coscienza rispetto ai rischi, per fare breccia nei sistemi aziendali.

Indice degli argomenti

Le minacce: cosa si intende per Social Engineering
Le motivazioni alla base di un attacco informatico possono essere molteplici: un cybercriminale può essere spinto da motivi economici e quindi attaccare per cercare di estorcere denaro, agire con finalità di spionaggio, trafugando informazioni legate alla proprietà intellettuale o industriale (brevetti, marchi), piuttosto che essere guidato da cause ideologiche o politiche (hacktivism).

Gli attacchi che sfruttano la vulnerabilità del fattore umano sono spesso progettati secondo logiche di Social Engineering. Per Social Engineering si intende una tecnica basata sullo studio del comportamento individuale di una persona, con l’obiettivo di carpire informazioni utili per l’attaccante.

La fase di attacco vera e propria è preceduta da una lunga sessione di studio della personalità, dei contatti sociali e dei modi di relazionarsi con gli altri. Un processo di Social Engineering parte infatti da un’accurata raccolta di informazioni sull’azienda target, reperite da tutte le fonti a disposizione (sito web aziendale, social network, dati societari, documenti disponibili in rete, ecc.) con l’obiettivo di conoscere a fondo l’azienda identificata come vittima e i dipendenti che vi operano. Una volta che il social engineer ha ottenuto le informazioni di cui aveva bisogno per architettare l’attacco, ecco che si passa alla fase operativa.

Gli strumenti di ingegneria sociale maggiormente utilizzati sono email, telefono, siti web, social network. I metodi per mettere a segno l’attacco possono essere molteplici: dal phishing al pretexting, dal baiting allo sfruttamento della “spazzatura informatica”. Di seguito vengono raccontate alcune tecniche diffuse che, seppure non in modo esaustivo, danno l’idea di come i cybercriminali utilizzino le metodologie più disparate per assestare i propri attacchi:

Phishing
un esempio molto comune di attacco basato sul comportamento umano è il phishing, un tentativo di truffa, realizzato sfruttando la posta elettronica, che ha per scopo il furto di dati personali degli utenti ignari i quali, spinti dalla curiosità o tratti in inganno dal mittente della mail, “abboccano”, cliccando sul link malevolo, inserendo le proprie credenziali oppure scaricando un allegato infetto. Generalmente i mittenti delle mail di phishing fingono di essere organizzazioni conosciute, come per esempio banche o servizi web che l’utente potrebbe effettivamente utilizzare, che contattano la vittima segnalando di aver riscontrato un problema oppure richiedendo la verifica e l’inserimento di alcune informazioni personali. Spesso l’attacco può essere studiato e targettizzato (spear phishing), provenire da una mail o da un nominativo familiare al destinatario e contenere link che rimandano a pagine web simili in tutto e per tutto ai siti originali. Il phishing può avvenire anche tramite strumenti diversi dalla posta elettronica: sono infatti sempre più diffusi anche tentativi di frode via SMS (Smishing) o veicolati tramite piattaforme di instant messaging, come WhatsApp o Telegram.

Pretexting
Nell’ambito dell’ingegneria sociale è di uso frequente anche la tecnica del pretexting, in cui l’attaccante contatta telefonicamente la vittima designata simulando un contesto particolare. Il mittente della telefonata si finge per esempio un dipendente bancario o di un ufficio pubblico e cerca di instaurare un rapporto di fiducia con l’utente, inducendolo a divulgare le informazioni di cui ha bisogno.

Baiting
L’adescamento è una metodologia di Social Engineering che fa leva sulla curiosità umana. L’hacker utilizza un’esca, lasciando incustodito e ben in vista un supporto di memorizzazione, come una chiavetta USB, un cd, un hard disk, ecc., contenente al suo interno del codice maligno. Lo scopo dell’attacco è quello di indurre la vittima, spinta dalla curiosità, ad inserire il dispositivo nel proprio computer, accedendo in questo modo all’intera rete aziendale.

Trashing
Un’ulteriore pratica utilizzata per ottenere l’accesso a informazioni riservate è il trashing, metodo tramite il quale i criminali setacciano la spazzatura alla ricerca di bollette, estratti conto ed altri documenti contenenti dati sensibili. Obiettivo degli hacker possono essere anche i sistemi che vengono dismessi, come ad esempio smartphone, laptop o dispositivi USB guasti, che, se non opportunamente resettati, possono essere fonte di preziose informazioni.

Altre tecniche
Il metodo del Quid pro quo prevede che il social engineer offra un servizio o un aiuto in cambio di un benefit. Può avvenire per esempio quando l’attaccante, fingendosi un tecnico IT, contatta telefonicamente alcuni dipendenti per offrire loro supporto, in cambio della richiesta di alcune informazioni (es. password) oppure chiedendo loro di disattivare momentaneamente l’antivirus e installare un programma contenente malware. Un cybercriminale che punta ad entrare fisicamente in un’area a cui l’accesso è ristretto può infine utilizzare la tecnica del tailgating, semplicemente seguendo un dipendente autorizzato o chiedendo una cortesia fingendo di aver dimenticato il badge di accesso all’area.

In aggiunta alle numerose minacce informatiche provenienti dal mondo esterno, una perdita di dati può essere causata anche da un evento accidentale, come per esempio il comportamento inconsapevole di un utente, la perdita di un dispositivo o la cancellazione involontaria.

Parola d’ordine: sensibilizzare per mitigare la vulnerabilità umana
Per cercare di mitigare la naturale vulnerabilità legata alle risorse umane, è quindi fondamentale che le organizzazioni sviluppino una precisa strategia di sensibilizzazione dei dipendenti sui temi dell’information security e della protezione dei dati, tramite la definizione di opportuni programmi di formazione.

L’80% delle aziende è già corso ai ripari, strutturando nel corso del 2018 un piano di formazione dei propri utenti aziendali con orizzonte annuale o pluriennale.

Le tipologie di iniziative che possono essere messe a punto per la sensibilizzazione degli utenti sono molteplici: la maggior parte delle aziende si affida a corsi online, ricorrendo a strumenti multimediali per rendere la formazione facilmente fruibile e accessibile a tutti i dipendenti. Molte organizzazioni propendono invece per metodi più tradizionali, come la formazione in aula o l’invio di comunicazioni periodiche ai dipendenti aziendali, in forma di mail e newsletter o la distribuzione di materiale informativo (voucher, booklet, cartellonistica, magazine aziendale), che permettono alla popolazione aziendale di rimanere sempre aggiornata e consapevole rispetto alla continua evoluzione delle minacce.

La simulazione di attacchi informatici rappresenta un ulteriore strumento di formazione, basato sull’esperienza diretta, e può essere utile da un lato a misurare il livello di consapevolezza dei dipendenti, mettendone alla prova la resistenza agli attacchi informatici, dall’altro a testare l’efficacia delle iniziative già portate avanti

Un ulteriore strumento a disposizione delle aziende sono le iniziative di training informale, basate su un approccio meno strutturato e più “amichevole”. Le attività di questa categoria possono riguardare per esempio l’organizzazione di incontri informali con esperti di sicurezza (es. Ethical Hacker), lo svolgimento di test di auto-valutazione del proprio livello di awareness, la creazione di piattaforme social di confronto, quali blog e forum, o ancora l’erogazione di formazione tramite gamification.

Qualunque sia la modalità scelta, lo scopo delle iniziative di sensibilizzazione è quello di sviluppare negli utenti le competenze essenziali, le tecniche e i metodi fondamentali per prevenire al massimo i rischi legati alla sicurezza e sapere come reagire e comportarsi di fronte ad eventuali criticità, con il risultato ad alto livello di provocare un cambiamento radicale nella cultura e nell’approccio dei dipendenti dell’azienda rispetto ai temi della sicurezza e della privacy.

[1] I dati fanno riferimento ad una rilevazione condotta tra settembre e dicembre 2018 dall’Osservatorio Information Security & Privacy del Politecnico di Milano che ha coinvolto 166 imprese di grandi dimensioni, appartenenti a tutti i settori merceologici.

Giorgia Dragoni

Il fattore umano: l’anello debole nella catena della security

Servizio di Allerta Pericoli Informatici

Alcuni dei Nostri Servizi più richiesti :

Copia Autentica Pagina Web

Copia Autentica Pagina Web

Il nostro studio fornisce un servizio professionale di autenticazione o copia conforme con valore legale di una pagina web o di una pagina di un social network per ogni tipo di contenuto ( testi, immagini, commenti, video, audio, tag ... ) che viene acquisito in modalità forense.

Denuncia per diffamazione su internet o sui social

Il nostro studio fornisce un servizio professionale di supporto e raccolta di prove informatiche con valore legale per effettuare una denuncia per diffamazione su internet o sui social network

MONITORAGGIO DELLA REPUTAZIONE ONLINE PERSONALE E AZIENDALE

La nostra società è in grado di offrirvi il Migliore Servizio di Monitoraggio sul web per tutelare la vostra reputazione personale e/o aziendale.

Servizio professionale per la rimozione di recensioni negative

Il nostro studio fornisce un servizio professionale anche di supporto legale per la rimozioni di recensioni online negative, offensive o comunque inappropriate (recensioni negative su tripadvisor, google ...)

I segreti della Truffa online : come smascherare un truffatore

Questa sezione del nostro portale di assistenza sui rischi informatici desidera offrire un aiuto a tutti coloro che sono stati vittima di una truffa online o hanno il sospetto di avere a che fare con un truffatore.

Certificazione Chat WhatsApp anche da Remoto

La certificazione di una chat WhatsApp che conferisce ad un messaggio ricevuto il valore di una prova legale, può essere eseguita anche da remoto da uno studio di informatica forense ( ricordiamo che uno screenshot non è ritenuto una prova valida ai fini legali ).

Soluzioni Backup per tutte le esigenze anche con criptazione dati

La nostra società offre un servizio completo per le esigenze di backup di privati ed aziende. Lasciatevi consigliare dai Professionisti del Backup per conservare i vostri dati sempre al sicuro e protetti con le migliori tecnologie a disposizione in ottemperanza dei nuovi decreti in materia di protezione dei dati personali ed in osservanza a tutte le normative europee vigenti, anche con crittografia end-to-end per salvaguardare il valore dei vostri contenuti.

Estorsione o ricatto sessuale online : cosa fare e cosa non fare

Il nostro studio fornisce un servizio professionale con assistenza legale nei casi di estersione o ricatti online



Rss Feeds: