Oggigiorno, ogni impresa presenta degli organi e delle procedure di tutela che controllano l’andamento, l’organizzazione e lo smaltimento di dati e documenti importanti.
È certamente importante porre una notevole attenzione a come proteggere le proprie password, a come sbarazzarsi di contenuti divenuti superflui, a come reagire in caso di possibili attacchi alla reputazione aziendale.
Stracciare bene i documenti, cosicché non possano essere ricomposti nemmeno se gettati e presi da qualcuno nel bidone dell’immondizia, o essere continuamente aggiornati sui cambiamenti del mercato così da non essere colti alla sprovvista, però, sono azioni che non bastano.
Come tutelarsi al 100% nel cyberspazio?
Il 3 ottobre 2019, a Milano, c’è stato l’incontro annuale della CLUSIT, ovvero della Associazione Italiana per la Sicurezza Informatica. Il tema e problema principale del 2019 è stato il cybercrime, ovvero l’attacco cyber che è aumentato di oltre il 100% rispetto al semestre precedente.
Con cybercrime si intende quella varietà di azioni malevole mosse con intenti illegali e criminali che hanno scopo di lucro, quali frodi informatiche, furto e vendita di identità o dato confidenziali.
L’attacco virtuale è ormai una delle pratiche più subite dalle imprese per l’estorsione di dati sensibili o denaro. Senza esclusione di colpi.
Ci si focalizza quindi sull’ICT, ovvero sull’insieme di tecnologie che forniscono l’accesso alle informazioni tramite le telecomunicazioni, quali ad esempio i cellulari, Internet e le reti wireless.
Ma ci sono anche molte aziende che sono divenute bersaglio degli attacchi di hacker umani che, nel settore, possono essere raggruppati sotto il nome di social engineering.
Cos’è il social engineering?
Tutti quegli attacchi non tecnici ma pericolosi per la sicurezza telematica delle imprese si racchiudono nel concetto di social engineering e human hacking.
Laddove un esperto riesca ad attuare con efficienza un’attività di social engineering, riuscirà a veicolare qualunque tipo di malware nel sistema dell’impresa presa a bersaglio.
Lo human hacking ha diverse tipologie di attacco, a seconda dei canali utilizzati. Le due tipologie più comuni e in cui chiunque può facilmente cadere sono le email e il telefono, laddove si decide di cliccare un link consigliato da una fonte autorevole – ovviamente fasulla – o di chiamare un numero senza pensarci due volte.
In secondo luogo, tutti i canali di messaggistica istantanea che danno la possibilità di utilizzare profili falsi creati con accuratezza.
I siti web sono un altro veicolo di social engineering in quanto potrebbero attaccare nel momento di attracco in una URL o essere dei cloni identici al sito reale ma che rubano in realtà informazioni personali. Lo stesso vale per i social network, che rendono le vittime ancor più deboli in quanto danno a tutti libero accesso a dati che possono essere ampliati e scoperti con facilità.
Queste attività di camuffamento potrebbero poi verificarsi anche nei servizi cloud, dove l’attaccante potrebbe rilasciare, nell’offerta acquistata dalla vittima, un agente malevolo.
Scopri le nostre soluzioni di comunicazione
Le fasi del social engineering: dalla confidenza al malware
L’attacco realizzato da un social engineer segue, solitamente, delle fasi ben precise.
Il primo passo sta nello studio della potenziale vittima per acquisire più informazioni sensibili possibili. Si può cominciare guardando il sito web o i canali social dell’azienda, in modo da trovare un numero di telefono, un’email o altri tipi di dati personali per contattarla.
Successivamente si costruirà una storia credibile per l’azienda, che tocchi i tasti giusti così da suscitare interesse e ancorare la vittima. L’hacker potrà utilizzare varie tecniche per conquistare la fiducia della persona che sta contattando, dalla proposta di una soluzione a un noto problema, alla persuasione personale.
Dopo la conquista, la fase conclusiva è l’attacco vero e proprio, che relativamente a tutto il processo di human hacking cuba una quantità di tempo abbastanza piccola. L’attacco può essere l’invio di un virus come la sottrazione (anche fisica) di un documento, il reperimento di informazioni o la conoscenza di particolari prodotti/procedure/persone.
Ma perché si cade vittima di questi attacchi?
Solitamente, il motivo principale che fa diventare i dipendenti di un’azienda delle vittime è la fiducia. Fiducia verso il sistema e verso il mondo del lavoro e della tecnologia.
Il l’human hacker opera sulla confidenza e sul camuffamento. Un’impresa deciderà sempre di fidarsi di personalità o organi autorevoli, laddove l’attività criminale decida di impersonare una fonte seria per estorcere informazioni private e preziose tramite email o telefonate.
Ancor più efficace è, poi, simulare situazioni di emergenza, sia positive sia negative. Una mail in cui si comunicano potenziali virus indebolirà subito una eventuale vittima che deciderà di installare un programma anti-malware che, in verità, ne sta iniettando uno nell’intero sistema informatico. O ancora, un messaggio che propone offerte vantaggiose farà sicuramente da perno sull’interesse dell’individuo. Infine, anche mail e chiamate da parte di soggetti degni di fiducia (l’azienda di pulizie, il tecnico della linea telefonica o un fantomatico ex collega) possono essere sintomi di un attacco in corso.
Ultimo ma più basilare problema delle imprese è la scarsa conoscenza informatica. Trovandosi di fronte a terminologie specifiche e alla richiesta di attività tecniche che non rispecchiano le competenze di un dipendente, quest’ultimo sarà più portato ad agire in maniera spontanea e diretta.
Come evitare di cadere nella rete dell’human hacker?
Le contromisure per evitare e sfuggire quindi alle attività di social engineering partono innanzitutto dalla consapevolezza e dalla formazione del personale.
I dipendenti formati conosceranno così le determinate azioni da svolgere o da evitare, come non diffondere informazioni strategiche in rete, diffidare da telefonate o email inaspettate o di dubbia provenienza, controllare sempre gli URL e informare gli esperti informatici in caso di anomalie.
Il problema è la debolezza umana. È bene dunque sviluppare protocolli di sicurezza e procedure di controllo periodici, far attenzione allo smaltimento dei rifiuti informatici e diffondere una policy aziendale che tutti devono conoscere e seguire perfettamente.
La manipolazione umana tramite canali telematici è quindi un rischio a cui ogni azienda dovrebbe far attenzione. Qualunque impresa, indifferentemente dalla sua estensione o settore, può diventare un facile bersaglio.
Il social engineering e lo human hacking sono solo due degli esempi di attività criminali e con fini malevoli che si possono incontrare sul web, e non solo. È fondamentale quindi fare attenzione alla protezione dei dati personali, alla confidenza data in rete ma anche e soprattutto alle attività quotidiane che ogni dipendente svolge.
È nella semplicità che possono nascere complicazioni difficili da arginare.
IBT Connect conosce questi rischi…
Proprio perché queste problematiche sono all’ordine del giorno, noi di IBT Connect sosteniamo le imprese in difficoltà, cercando di risolvere, o ancora meglio, prevenire gli attacchi informatici.
Grazie ai nostri sistemi e alle nostre procedure, siamo in grado di sconfiggere gli attacchi dei social engineer e ripristinare una perfetta connettività aziendale (possiamo anche provare a simulare l’attacco di un hacker per testare i tuoi sistemi).
Se vuoi saperne di più, clicca qui sotto.
Facebook