• Today is: venerdì, luglio 28, 2017

L’Ingegneria Sociale e il fattore umano nella Cybersecurity

ingegneria-sociale-cybersecurity
InfoCert
novembre02/ 2016

IMPARIAMO A CONOSCERE LE TECNICHE DI ATTACCO PER EVITARE DI ESSERE POTENZIALI VITTIME

ingegneria-sociale-cybersecurity

Immaginiamo di uscire di casa al mattino, chiudere a chiave la porta di ingresso e lasciare la chiave lì, in bella vista sullo zerbino, prima di andar via. Spero possiamo convenire che solo un pazzo farebbe una cosa del genere. Se però non si tratta di proteggere casa nostra ma il nostro PC, e tutti i nostri dati personali al suo interno, vediamo che in tanti ancora oggi appuntano le proprie password su un post-it o un foglietto lasciato poi sulla scrivania accanto al computer.

QUANDO IL BUG DI SISTEMA È L’UOMO

social-engeneering-telefonoIl fatto è che spesso un buon livello di Cybersecurity dipende molto più dal fattore umano che da quello tecnologico. Antivirus, firewall e sistemi di crittografia non possono difenderci da noi stessi. Quando le Reti sono troppo difficili da bucare e i programmi privi di bug, è necessario concentrarsi sull’unico punto debole restante nel sistema: l’uomo. È su questo assunto che si basano le cosiddette tecniche di ingegneria sociale.

Un ingegnere sociale è un cybercriminale che punta soprattutto sulla psicologia per manipolare le proprie vittime ed ottenere con l’inganno informazioni riservate e dati sensibili. Queste vittime sono spesso e volentieri grandi aziende che, pur essendo in genere dotate di migliori sistemi di sorveglianza e sicurezza, risultano particolarmente vulnerabili a questo tipo di attacchi.

COME VIENE CONDOTTO UN ATTACCO DI INGEGNERIA SOCIALE?

social_engineeringPer poter centrare il proprio obbiettivo un ingegnere sociale deve essere in grado di ingannare il prossimo, fingendo di essere qualcun altro, e ricavare così le informazioni che cerca. Informazioni ritenute innocue dalla vittima ma essenziali per l’attività criminale dell’ingegnere sociale. La chiave di tutto è conquistare la fiducia della vittima.

In un primo momento il cybercriminale dovrà selezionare la vittima adatta. Le aziende più vulnerabili sono quelle con più sedi e un alto numero di dipendenti. L’ideale sarebbe un dipendente assunto da poco tempo che non conosca molti colleghi e sia disposto a tutto pur di soddisfare un caporeparto o evitare un guaio.

Trovata la vittima bisogna stabilire un contatto. Ci si può fingere un collega da poco assunto in cerca di aiuto, evitando di chiedere subito informazioni sensibili a meno di non utilizzare gergo tecnico relativo a un caso specifico.

Ottenuta la fiducia del proprio interlocutore sarà facile avere da lui anche informazioni utili. Spesso i cybercriminali simulano una situazione di emergenza provocando una reazione emotiva nella vittima, dettata dal panico e dall’urgenza.

COME DIFENDERSI DA UN ATTACCO DI INGEGNERIA SOCIALE?

social-engineering-difesaIn primo luogo è necessario rendersi conto che la sicurezza non si riduce a un semplice prodotto da acquistare ed installare. A sistemi software sicuri deve far seguito la massima attenzione da parte nostra. Ecco perciò alcuni consigli da seguire per fronteggiare possibili attacchi di questo tipo:

  • avere consapevolezza del fatto che ognuno di noi può essere vittima di un attacco di questo tipo, perché tutti siamo portatori di informazioni sensibili o connessi in più modi a chi ne possiede;
  • tenersi sempre informati sugli ultimi attacchi informatici noti alla cronaca, sventati o portati a termine (iscriversi alla nostra newsletter è un primo passo in questa direzione) per esser preparati a gestire situazioni simili;
  • guardare sempre con il massimo sospetto ogni richiesta di informazioni riservate, dati sensibili e credenziali, verificando l’identità del richiedente;
  • evitare sempre di agire in prenda al panico o all’ansia, riflettere sempre su ciò che viene richiesto e sulle modalità con cui viene richiesto;
  • monitorare periodicamente le attività registrate sui nostri account online.

2 novembre 2016

TIENITI INFORMATO

newsletter

iscriviti alla newsletter di Futuro Digitale

Dicci cosa ne pensi