IBT Connect

ICT, VoIP e Clinical Governance

3 modi per scoprire e difendersi da qualsiasi attacco informatico

Category: Sicurezza

Tagged: , , , ,

social engineering e human hacking IBT Connect

In un precedente articolo abbiamo rivelato che cosa si cela davvero dietro ad un attacco informatico.

Lo puoi leggere a questa pagina.

Spesso si tende a credere, un po’ per quello che ci hanno insegnato i film di Hollywood e un po’ per scarsa conoscenza del settore e della sua evoluzione, che un attacco cosiddetto cyber sia il classico blackout informatico o il tipico “virus” che entra nel computer e sottrae i dati dell’azienda.

Forse fino a qualche anno fa la situazione reale poteva essere verosimilmente questa.

Ma oggi le cose sono cambiate.

Abbiamo già introdotto il concetto di ingegneria sociale nell’ambito del cybercrime.

In questo articolo di oggi vogliamo andare oltre e sviluppare ulteriormente il concetto di ingegneria sociale.

Più nello specifico, lo human hacking.

Che cos’è lo human hacking

In poche parole, per human hacking si intende letteralmente “l’hackeraggio” degli esseri umani al fine di raggiungere un obiettivo.

Per spiegarlo in parole povere, potremmo facilmente sostituire il concetto di hackaraggio con raggiramento o inganno.

Quindi si tratta di un insieme di tecniche e procedure che traggono in inganno la vittima per estorcere informazioni, per avere accesso ad aree riservate o file secretati.

Fin qui, queste tecniche sono abbastanza generali e applicabili a diversi contesti e attuate con differenti strumenti e canali.

Ma in certi frangenti le tecniche di human hacking possono basarsi su internet e il mondo dell’informatica.

In questo caso di parla di human hacking computer based

Con questo concetto si intendono semplicemente tutte quelle tecniche e tattiche di circuizione e raggiramento atte a carpire informazioni e dati sensibili, attuate attraverso internet e i computer.

Partiamo subito con alcuni esempi pratici.

Ti sei mai ritrovato in una di queste situazioni?

  • Ricevi una mail di un vecchio dipendente che ti chiede accesso alla sua mail perché ha perso i dati
  • Rispondi a una chiamata da una ditta di pulizie o disinfestazione per programmare un sopralluogo in sede
  • Si presenta alla reception un tecnico per fare dei lavori urgenti alla linea telefonica

Se questi sono dei puri e semplici esempi, si tratta però di elaborate tecniche di human hacking che sfruttano i principi della social engineering per sottrarre dati importanti che a volte sono gli stessi dipendenti a rendere pubblici, magari inconsapevolmente (come nel caso della mail), oppure per avere informazioni sensibili su orari e organizzazione dell’azienda (nel caso della chiamata) oppure ancora tecniche di impersonificazione in cui i malintenzionati tentano un accesso fisico all’azienda sotto mentite spoglie.

Da quanto abbiamo potuto scoprire assieme, non si tratta dei soliti attacchi informatici a cui siamo sempre stati abituati a pensare.

Infatti come descritto brevemente nello scorso articolo, oggi gli attacchi informatici iniziano ben prima della mail, della telefonata o della visita del curioso disinfestatore.

social engineering e human hacking IBT_Connect

Come funzionano questi attacchi e che cosa causano all’azienda?

I casi visti sopra dimostrano tre tipologie di attacco su tre diversi step di avanzamento del cyberattack.

Il primo è quello del cosiddetto phishing: si invia una mail spacciandosi per qualcuno di noto nell’azienda, magari anche con un indirizzo del tutto simile se non uguale a quello di un ex collega o di un collega assente. Il soggetto infine, forte del presunto ruolo, fa pressione affinché riceva dei dati.

Nel secondo caso invece siamo di fronte ad un attacco di tipo vhishing, che in altre parole è il phishing  fatto via telefonica. Se prima il malintenzionato si spacciava per altri attraverso una mail, in questo caso lo farà attraverso una chiamata.

Nel terzo caso invece si tratta di un attacco più elaborato e studiato, che nel gergo della social engineering di chiama “impersonificazione”. In queste offensive, i “professionisti” dei cyber-attacchi hanno l’obiettivo di entrare in zone o locali non accessibili a chiunque per sottrarre dati sensibili, informazioni che poi possono essere usate per un secondo attacco di phishing  o vhishing ancora più preciso e credibile.

Come ci si può difendere da questi attacchi?

In generale una buona prudenza può essere abbastanza nei casi di attacchi superficiali e poco elaborati, ma nei casi più complessi può essere molto difficile individuare un attacco e quindi bloccarlo.

Questo perché spesso si fa leva sulla fiducia e sull’emotività. Un ex collega che ci scrive dalla sua casella mail di qualche mese fa è molto più credibile di uno sconosciuto. Così come una squadra di intervento per un problema alla linea telefonica è molto più attendibile di uno sconosciuto che intende entrare in azienda senza farsi scoprire.

Scopri le nostre soluzioni QUI

Ci sono 3 modi per individuare e contrastare questi attacchi

1 – Usare prudenza e riflettere

Sembra quasi ovvio e scontato, ma in realtà non lo è. Se ci arriva una mail di una persona che conosciamo, ma che magari non lavora più qui, oppure di un cliente che non ha più rapporti con noi da molto tempo, ci è facile aprire la mail e rispondere. Magari dando anche qualche informazione che non dovrebbe essere data.

Quindi la prima cosa da fare se siamo davanti ad una mail, una telefonata o una richiesta fuori dalla norma, è quella di fermarsi e ragionare un attimo. È davvero possibile che questa persona mi possa scrivere? È verosimile che possa scrivere proprio a me? Che informazioni mi sta chiedendo? Perché non ne ha accesso?

La prudenza e l’adempimento delle procedure è la cosa migliore da fare, sempre.

2 – Indagare se qualcosa non torna

Se dopo aver fatto le prime valutazioni qualcosa non ti torna, inizia ad indagare. Tieni in sospeso la mail, metti in attesa il tuo interlocutore e fai una rapida ricerca di chi ti ha contattato e di che dati ha richiesto. In questo modo potrai capire subito se si tratta di qualcuno che effettivamente sta lavorando ad un progetto comune o ha a che fare con l’azienda oppure no.

3 – Fare sempre un doppio controllo

Se dopo le prime due contromisure hai ancora dei dubbi, c’è una terza opzione che puoi utilizzare.

Semplicemente, esegui un doppio controllo: prendi la mail su cui sei incerto e passala al team IT. In questo modo potrai avere immediatamente un riscontro sull’attendibilità della mail e del mittente.

Oppure se ti arriva quella telefonata bizzarra dell’ex collega o di un fornitore che non hai mai sentito, confrontati prima con l’ufficio risorse umane o l’ufficio acquisti.

Un doppio controllo con i responsabili dei rispettivi uffici può aiutarti a capire la reale attendibilità della fonte.

In IBT Connect conosciamo molto bene queste situazioni e queste tecniche.

Proprio per questo motivo siamo in prima linea nel supportare le imprese affinché si dotino dei migliori sistemi e procedure per sventare questo tipo di attacchi.

Scopri di più su quello che possiamo fare per le imprese qui.

Scopri le nostre soluzioni QUI

 

Paolo Martinazzo
Sales Engineer

 

Desideri maggiori informazioni?

Dichiaro di aver letto l'informativa ed acconsento al trattamento dei dati ai sensi del D.lgs. n. 196/2003

Informativa privacy

Ricevi gli articoli appena vengono pubblicati!

Ricevi gli articoli appena vengono pubblicati!

Clicca sul pulsante qui sotto per ricevere gli articoli del blog direttamente nella tua casella di posta non appena vengono pubblicati.

You have Successfully Subscribed!

Siamo attenti alla tua Privacy: per questo potrai disiscriverti in qualsiasi momento direttamente nella mail.