La social engineering è l'arte di manipolare le persone con lo scopo di “iniettare” il malware all'interno di un'organizzazione superando qualsiasi sistema di controllo e ottenere informazioni riservate.
Come funziona il social engineering?
In un tipico attacco di ingegneria sociale, il criminale informatico comunicherà con la vittima designata sostenendo di far parte di un’azienda fidata. In alcuni casi, proverà addirittura a fingersi una persona conosciuta dalla vittima.
Se la manipolazione funziona (la vittima crede che l’hacker sia chi dice di essere), quest’ultimo la incoraggerà a compiere un’ulteriore azione come, ad esempio, divulgare informazioni sensibili quali password, data di nascita o dati bancari. Oppure potrebbe incoraggiare la vittima a visitare un sito Web da cui viene installato un malware che può causare danni al computer della vittima. Nei casi peggiori, il sito Web nocivo sottrae i dati sensibili dal dispositivo o prende il controllo dell’intero dispositivo.
Perché il social engineering è così pericoloso?
Uno dei maggiori pericoli dell’ingegneria sociale è che gli attacchi non devono funzionare su tutti: un’unica vittima raggirata può fornire informazioni sufficienti per scatenare un attacco che può colpire un’intera azienda.
Nel corso del tempo, gli attacchi di ingegneria sociale sono diventati sempre più sofisticati. Non solo i siti Web o i messaggi e-mail fasulli appaiono abbastanza realistici da indurre le vittime a rivelare dati che possono essere usati per i furti d’identità, il social engineering è diventato anche uno dei modi più comuni per gli hacker di violare le difese iniziali di un’azienda per causare ulteriori danni e pericoli.
Come posso proteggere me stesso e la mia azienda dal social engineering?
Sebbene gli attacchi psicologici mettano a dura prova la resistenza anche dei migliori sistemi di sicurezza, le aziende possono ridurre i rischi che ne derivano tramite azioni di sensibilizzazione.
Una formazione continua, pensata appositamente per la tua azienda, è
fortemente raccomandata. Questi corsi includono dimostrazioni di come
gli hacker possono provare a ingannare i dipendenti. Ad esempio,
simulano una situazione in cui un hacker si finge un impiegato di banca
che chiede all’utente di verificare le informazioni sul suo account.
Oppure, presentano il caso di un manager senior (il cui indirizzo è
stato contraffatto o copiato) che chiede all’utente di inviare un
pagamento a un certo account.
La formazione aiuta i dipendenti a difendersi dagli attacchi e a
capire perché il loro ruolo all’interno della cultura della sicurezza è
fondamentale per l’azienda.
Le aziende dovrebbero anche stabilire una serie di politiche di
sicurezza chiare per aiutare i dipendenti a prendere le decisioni giuste
in caso di tentativi di ingegneria sociale. Esempi di procedure utili
sono:
- Gestione delle password: le linee guida, come il numero e il tipo di caratteri che ciascuna password deve includere, con quale frequenza si deve cambiare la password e anche una regola semplice per cui i dipendenti non devono rivelare le password a nessuno, indipendentemente dal loro ruolo, aiuteranno a tenere al sicuro le informazioni
- Autenticazione a più fattori: l’autenticazione per servizi di rete ad alto rischio, come gruppi di modem e VPN, dovrebbe prevedere l’autenticazione a più fattori al posto delle password fisse.
- Sicurezza e-mail con difese anti-phishing: più livelli di difesa per le caselle di e-mail possono ridurre al minimo il rischio di phishing e altri attacchi di ingegneria sociale. Alcuni strumenti per la sicurezza delle caselle di e-mail dispongono di misure anti-phishing integrate.
.
Nessun commento:
Posta un commento