Le principali minacce in azienda: #1 ingegneria sociale

Mobile, Privacy, Sicurezza

Ogni settimana F-Secure illustra le principali minacce a cui sono esposte le aziende. Questa settimana tocca all’ingegneria sociale!

IN COSA CONSISTE?

L’ingegneria sociale (o social engineering nella lingua di Shakespeare) non è un vero e proprio attacco informatico, in quanto non ha niente di digitale. Consiste nell’ingannare i dipendenti di un’azienda per sottrarre, a loro insaputa, informazioni riservate o sensibili, mediante oggetti o servizi utilizzati di frequente dagli utenti. L’ingegneria sociale si basa quindi sui comportamenti che si suppone avranno gli utenti di fronte a una determinata situazione. Niente di rivoluzionario perciò a livello di forma, tuttavia l’ingegneria sociale può causare gravi danni economici alle aziende.

QUALI FORME ASSUME?

L’ingegneria sociale può presentarsi sotto svariate forme:

  • Link dai titoli allettanti sui social network. Avete forse visto di recente delle offerte per acquistare dei Ray Ban a un prezzo stracciato sul profilo Facebook di uno dei vostri amici? O un link che indirizza a un video intrigante con un titolo del tipo “quel che farà in seguito vi… “? Questi link reindirizzano in generale verso siti fraudolenti che installano virus tipo trojan o backdoor all’insaputa degli utenti.
  • Codici QR che reindirizzano verso siti malevoli, incollati sugli schienali delle sedie o sui tavoli, per esempio durante le fiere. Qui è la noia a diventare il peggior nemico della sicurezza.
  • Il recupero di informazioni professionali di quadri e dirigenti d’azienda tramite LinkedIn per usurparne l’identità e ingannare i dipendenti.
  • Una telefonata proveniente da un malintenzionato che si spaccia per un amministratore informatico e chiede all’utente login e password.
  • Una chiavetta USB o una scheda SD abbandonate in strada e contenenti malware, anche se questa forma di ingegneria sociale è più datata e sempre meno utilizzata.

QUALI SONO LE CONSEGUENZE?

L’impatto per le aziende colpite è in genere finanziario, a causa della vendita dei dati rubati sul mercato nero (chiamato anche il “dark web”) o per l’uso dei dati sottratti a scopi fraudolenti.

Abbiamo incontrato di recente un’azienda che utilizzava un antivirus gratuito. Il responsabile degli acquisti un giorno ha ricevuto un link su cui ha cliccato. Poiché il sito non era di suo interesse, ha chiuso la pagina e ha ripreso il suo lavoro.

Qualche giorno dopo ha ricevuto una e-mail dalla sua banca che segnalava che la sua società aveva appena effettuato un bonifico bancario di 100.000€ verso la Polonia. Evidentemente non era stato il responsabile acquisti a eseguire il bonifico e, per fortuna, la banca ha subito bloccato l’operazione bancaria. Il tentativo è dunque fallito per due motivi: perché la banca ha constatato che l’azienda non aveva mai lavorato prima con la Polonia e perché l’importo era molto elevato, se fosse stato inferiore probabilmente la truffa sarebbe andata a buon fine.

Come è potuto accadere? Al cyber criminale è stato sufficiente recuperare i dati del responsabile acquisti e inviargli una mail con un link per indirizzarlo a un sito che, sfruttando una falla nella protezione, ha installato automaticamente un trojan nel suo pc. Il trojan ha poi trasmesso le informazioni bancarie della società a un server controllato da un hacker.

COME DIFENDERSI?

Poiché l’ingegneria sociale cerca di sfruttare gli errori umani, la miglior linea di difesa sarà sempre costituita da dipendenti ben istruiti e sensibilizzati ai comportamenti corretti da adottare in azienda per evitare attacchi informatici. Per quanto riguarda l’ingegneria sociale, si potrebbe ad esempio adottare una politica di sicurezza costituita da norme e processi rigorosi, come ad esempio non fornire mai informazioni personali o confidenziali (login, password, dati bancari) né comunicare informazioni sensibili (file delle risorse umane, dati contabili…) per telefono o e-mail, ma solo quando ci si trova faccia a faccia con l’interlocutore.

Non si deve poi dimenticare che l’ingegneria sociale si basa moltissimo sul concetto di fiducia. Può quindi accadere che un utente utilizzi ad esempio un servizio web di cui si fida e che in genere è sicuro, ma in cui un hacker ha installato un malware sfruttando una vulnerabilità nella sicurezza. Oggettivamente non è stato commesso alcun errore, è una disavventura che può capitare a chiunque, utilizziamo tutti servizi di cui ci fidiamo quasi ciecamente: social network, motori di ricerca, enciclopedie on line, ecc… Ma anche questi sono vulnerabili e possono diventare vettori di infezioni.

Oltre a sensibilizzare gli utenti, occorre quindi adottare delle misure tecniche, come ad esempio:

 

Articolo tratto da “Les principales menaces en entreprise: #1 l’ingénierie sociale” di Guillaume Ortega, PR Manager di F-Secure France.

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: