{"id":65956,"date":"2021-07-01T11:00:56","date_gmt":"2021-07-01T09:00:56","guid":{"rendered":"https:\/\/appelloalpopolo.it\/?p=65956"},"modified":"2021-07-01T07:54:53","modified_gmt":"2021-07-01T05:54:53","slug":"social-engineering-perche-le-aziende-dovrebbero-temerlo","status":"publish","type":"post","link":"https:\/\/appelloalpopolo.it\/?p=65956","title":{"rendered":"Social engineering: perch\u00e9 le aziende dovrebbero temerlo?"},"content":{"rendered":"

di DIFESA ONLINE (Andrea Filippo Mongelli)<\/strong><\/p>\n

\"\"<\/p>\n

\u201cLa sicurezza informatica \u00e8 difficile (forse anche impossibile), ma immagina per un momento di esserci riusciti. La crittografia potente viene applicata dove necessario, i protocolli di sicurezza svolgono le loro funzioni in modo impeccabile. Abbiamo sia hardware affidabile che software affidabile a nostra disposizione. Anche la rete su cui operiamo \u00e8 completamente sicura. Meraviglioso!<\/em><\/p>\n

Sfortunatamente, questo non \u00e8 ancora abbastanza. Questo meraviglioso sistema pu\u00f2 fare qualsiasi cosa di utile solo con la partecipazione degli utenti.<\/em><\/p>\n

Le persone sono spesso l’anello debole di un sistema di misure di sicurezza, e sono loro che rendono costantemente inefficaci queste ultime.<\/em><\/p>\n

In termini di sicurezza, la matematica \u00e8 impeccabile, i\u00a0computer sono vulnerabili, le reti sono pessime e le persone sono semplicemente disgustose.\u201d<\/em><\/p>\n

(tratto\u00a0da:\u00a0“Secrets and Lies: Digital Security in a Networked World”\u00a0, di Bruce Schneier)<\/p>\n

L’informazione \u00e8 uno dei beni pi\u00f9 importanti di un’azienda<\/u>.<\/p>\n

Le informazioni possono costituire un segreto commerciale della societ\u00e0, ad esempio\u00a0in circostanze esistenti o possibili\u00a0possono servire per\u00a0aumentare i ricavi, evitare spese ingiustificate\u00a0o\u00a0contribuire a\u00a0mantenere una posizione\u00a0dominante\u00a0nel mercato di beni, lavori, servizi o apportare altri benefici commerciali all’azienda. Di conseguenza, tali informazioni devono essere protette.<\/p>\n

Dal momento che le persone per lavorare si spostano potenzialmente in qualsiasi azienda, inevitabilmente sorge l’influenza del fattore umano su tutti i processi dell’organizzazione. Compreso il processo di protezione delle informazioni riservate.<\/p>\n

Qualsiasi azione umana associata a una violazione del regime di sicurezza pu\u00f2 essere suddivisa in due grandi categorie: intenzionali e non intenzionali.<\/p>\n

Le azioni\u00a0intenzionali\u00a0includono il\u00a0furto<\/strong>\u00a0di informazioni da parte dei dipendenti, la\u00a0modifica<\/strong>\u00a0delle informazioni o la loro\u00a0distruzione<\/strong>\u00a0(sabotaggio). Quest’ultimo \u00e8 un caso estremo e deve essere\u00a0affrontato a posteriori, coinvolgendo gli organi di polizia.<\/p>\n

\"\"<\/p>\n

Per\u00a0azioni non intenzionali<\/em>\u00a0si intendono, per esempio,\u00a0la perdita dei supporti di memorizzazione, la distruzione o il danneggiamento dei dati per negligenza. La persona\u00a0in questo caso\u00a0non si rende conto che le sue azioni portano a una violazione del regime del segreto commerciale.<\/p>\n

Lo stesso vale per\u00a0eventuali\u00a0azioni involontarie\u00a0compiute a vantaggio\u00a0delle persone sbagliate,\u00a0spesso indotte con l’inganno attraverso tecniche dette di “ingegneria sociale”.<\/p>\n

In molti casi\u00a0un dipendente non si rende conto che le sue azioni\u00a0possono comportare violazioni\u00a0del regime del segreto industriale, ma allo stesso tempo chi glielo chiede sa chiaramente che sta violando il regime.<\/p>\n

Tecniche di ingegneria sociale<\/strong><\/p>\n

Tutte le tecniche di ingegneria sociale si basano sulle peculiarit\u00e0 del processo decisionale umano.<\/p>\n

Esistono varie tecniche e tipologie di ingegneria sociale:<\/p>\n

–\u00a0Il\u00a0pretexting<\/strong>\u00a0\u00e8 un’azione elaborata secondo uno script prescritto (pretesto). Di conseguenza, il bersaglio (vittima) deve fornire determinate informazioni o eseguire una determinata azione. Questo tipo di attacco viene solitamente utilizzato per telefono. Il pi\u00f9 delle volte, questa tecnica comporta niente pi\u00f9 che semplici bugie e richiede alcune ricerche preliminari (ad esempio, la personalizzazione: scoprire il nome del dipendente, la sua posizione e i nomi dei progetti a cui sta lavorando) al fine di garantire la credibilit\u00e0 quando ci si presenta al bersaglio.<\/p>\n

\"\"<\/p>\n

–\u00a0Il\u00a0phishing<\/strong>:\u00a0una tecnica volta all’ottenimento fraudolento di informazioni riservate. In genere, l’attaccante invia al bersaglio un’e-mail, contraffatta da una lettera ufficiale – da una banca o da un sistema di pagamento – che richiede la “verifica” di determinate informazioni o l’esecuzione di determinate azioni. Questa lettera di solito contiene un link a una pagina web falsa, che imita quella ufficiale, con un logo e un contenuto aziendale, e contiene un modulo che richiede di inserire informazioni riservate, dal tuo indirizzo di casa al PIN della tua carta di credito.<\/p>\n

–\u00a0Troian horse<\/strong>:\u00a0questa tecnica sfrutta la curiosit\u00e0 o l’avidit\u00e0 del bersaglio. L’aggressore invia un’e-mail contenente un allegato con un importante aggiornamento antivirus o anche nuove prove compromettenti contro un dipendente. Questa tecnica rimane efficace finch\u00e9 gli utenti fanno clic ciecamente su qualsiasi allegato.<\/p>\n

–\u00a0Road Apple<\/strong>:\u00a0questo metodo di attacco \u00e8 un adattamento di un cavallo di Troia e consiste nell’uso di supporti fisici. Un utente malintenzionato pu\u00f2 posizionare un CD o una scheda di memoria, infatti, in un luogo in cui \u00e8 possibile trovare facilmente il supporto (corridoio, ascensore, parcheggio). Il mezzo \u00e8 forgiato come ufficiale ed \u00e8 accompagnato da una firma progettata per suscitare curiosit\u00e0.<\/p>\n

Esempio: un utente malintenzionato pu\u00f2 lanciare un CD con un logo aziendale e un collegamento al sito Web ufficiale dell’azienda di destinazione ed etichettarlo “stipendio dei dirigenti del primo trimestre 2010”. Il disco pu\u00f2 essere lasciato al piano dell’ascensore o nella hall. Un dipendente pu\u00f2 inconsapevolmente prendere un disco e inserirlo in un computer per soddisfare la sua curiosit\u00e0.<\/p>\n

\"\"<\/p>\n

–\u00a0Quid pro quo<\/strong>:\u00a0un utente malintenzionato pu\u00f2 chiamare un numero casuale dell’azienda e presentarsi come un dipendente dell’assistenza tecnica chiedendo se ci sono problemi tecnici. Se ce ne sono, nel processo di “risoluzione”, il bersaglio immette comandi che consentono a un utente malintenzionato di lanciare software dannoso.<\/p>\n

–\u00a0Ingegneria sociale inversa<\/strong>.<\/p>\n

L’obiettivo del\u00a0social reverse engineering<\/em>\u00a0\u00e8 far s\u00ec che l’obiettivo si rivolga all’aggressore per “aiuto”. A tal fine, un utente malintenzionato pu\u00f2 utilizzare le seguenti tecniche:<\/p>\n

Sabotaggio<\/u>: crea un problema reversibile sul computer della vittima.<\/p>\n

Pubblicit\u00e0<\/u>: L’aggressore fa scivolare la vittima con un annuncio del tipo “Se hai problemi con il tuo computer, chiama questo numero” (questo riguarda principalmente i dipendenti che sono in viaggio d’affari o in vacanza).
\nPossiamo per\u00f2 limitare la percentuale di essere truffati e trafugare dati sensibili che potrebbero compromettere la nostra immagine e la nostra vita quotidiana.<\/p>\n

La difesa pi\u00f9 basilare contro l’ingegneria sociale \u00e8 attraverso l’istruzione<\/u>. Perch\u00e9 chi \u00e8 avvisato \u00e8 armato. E l’ignoranza, a sua volta, non esonera dalla responsabilit\u00e0. Tutti i dipendenti dell’azienda devono essere consapevoli dei pericoli della divulgazione di informazioni e di come prevenirla.<\/p>\n

Inoltre, i dipendenti dell’azienda dovrebbero avere istruzioni chiare su come e su quali argomenti parlare con un generico interlocutore, quali informazioni devono ottenere da lui per un’accurata autenticazione dell’interlocutore.<\/p>\n

\"\"Ecco alcune regole che potrebbero essere utili:<\/strong><\/p>\n

1.\u00a0Tutte le\u00a0password<\/u>\u00a0utente sono di propriet\u00e0 dell’azienda. Va spiegato a tutti i dipendenti il giorno dell’assunzione che le password loro fornite non possono essere utilizzate per nessun altro scopo, ad esempio per l’autorizzazione sui siti Internet (\u00e8 noto che \u00e8 difficile per una persona mantenere in attenzione a tutte le password e codici di accesso, quindi usa spesso la stessa password per situazioni diverse).<\/p>\n

Come si pu\u00f2 sfruttare tale vulnerabilit\u00e0 nell’ingegneria sociale? Supponiamo che un dipendente dell’azienda sia vittima di\u00a0phishing<\/em>. Di conseguenza, la sua password su un determinato sito Internet \u00e8 diventata nota a terzi. Se questa password corrisponde a quella utilizzata nell’azienda, esiste una potenziale minaccia alla sicurezza per l’azienda stessa.<\/p>\n

In linea di principio, non \u00e8 nemmeno necessario che un dipendente dell’azienda diventi vittima di\u00a0phishing<\/em>. Non ci sono garanzie che il livello di sicurezza richiesto sia osservato sui siti in cui si accede. Quindi c’\u00e8 sempre una potenziale minaccia.<\/p>\n

2.\u00a0Tutto il personale dovrebbe essere istruito su come trattare con i\u00a0visitatori<\/u>. Sono necessarie regole chiare per stabilire l’identit\u00e0 del visitatore e del suo accompagnatore. Un visitatore dovrebbe sempre essere accompagnato da qualcuno dell’azienda. Se un dipendente dell’azienda incontra un visitatore che si aggira da solo per l’edificio, allora deve avere le istruzioni necessarie per scoprire correttamente a quale scopo si trovava il visitatore in questa parte dell’edificio e dove si trova la sua scorta.<\/p>\n

3.\u00a0Dovrebbe esserci una regola per la corretta\u00a0divulgazione<\/u>\u00a0delle sole informazioni realmente necessarie per telefono e di persona, nonch\u00e9 una procedura per verificare se chi richiede qualcosa \u00e8 un vero dipendente dell’azienda. Non \u00e8 un segreto che la maggior parte delle informazioni viene ottenuta da un utente malintenzionato durante la comunicazione diretta con i dipendenti dell’azienda. Dobbiamo anche tenere conto del fatto che nelle grandi aziende i dipendenti potrebbero non conoscersi, quindi un utente malintenzionato pu\u00f2 facilmente fingere di essere un dipendente che ha bisogno di aiuto.<\/p>\n

Tutte le misure descritte sono abbastanza semplici da attuare, ma la maggior parte dei dipendenti dimentica queste misure e il livello di responsabilit\u00e0 che viene loro assegnato quando firmano gli obblighi di non divulgazione.\u00a0<\/strong><\/p>\n

Cos\u00ec l’azienda spende enormi risorse finanziarie per garantire la sicurezza delle informazioni con mezzi tecnici che purtroppo possono essere facilmente aggirati se i dipendenti non adottano misure per contrastare gli ingegneri sociali e se i servizi di sicurezza non controllano periodicamente il personale aziendale.<\/strong><\/p>\n

Fonte:\u00a0<\/strong>https:\/\/www.difesaonline.it\/evidenza\/cyber\/social-engineering-perch%C3%A9-le-aziende-dovrebbero-temerlo<\/a><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

di DIFESA ONLINE (Andrea Filippo Mongelli) \u201cLa sicurezza informatica \u00e8 difficile (forse anche impossibile), ma immagina per un momento di esserci riusciti. La crittografia potente viene applicata dove necessario, i protocolli di sicurezza svolgono le loro funzioni in modo impeccabile. Abbiamo sia hardware affidabile che software affidabile a nostra disposizione. Anche la rete su cui operiamo \u00e8 completamente sicura. Meraviglioso! Sfortunatamente, questo non \u00e8 ancora abbastanza. Questo meraviglioso sistema pu\u00f2 fare qualsiasi cosa di utile...<\/p>\n","protected":false},"author":95,"featured_media":62263,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","enabled":false},"version":2}},"categories":[32],"tags":[],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/appelloalpopolo.it\/wp-content\/uploads\/2021\/01\/Difesa-online.jpg","jetpack_sharing_enabled":true,"jetpack_shortlink":"https:\/\/wp.me\/p7ZaJ4-h9O","_links":{"self":[{"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/posts\/65956"}],"collection":[{"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/users\/95"}],"replies":[{"embeddable":true,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=65956"}],"version-history":[{"count":3,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/posts\/65956\/revisions"}],"predecessor-version":[{"id":65960,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/posts\/65956\/revisions\/65960"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/media\/62263"}],"wp:attachment":[{"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=65956"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=65956"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=65956"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}