Social network e social engineering

La nuova frontiera della sicurezza IT è il social engineering, ovvero le tecniche e i trucchi indirizzati a convincere una determinata persona a rivelare, involontariamente, informazioni e dati sensibili. Si tratta di un’area che coinvolge aspetti più prettamente tecnologici con altri psicologici.

Di primo acchito poche discipline parrebbero più lontane tra loro della psicologia e della sicurezza informatica. Ma a guardare bene i punti di contatto si trovano, alla voce social engineering.

Si parla di social engineering quando si vanno ad analizzare tecniche e trucchi indirizzati a convincere una determinata persona a rivelare, involontariamente, informazioni e dati sensibili.
Se non si riesce ad accedere a determinate informazioni usando solo la tecnologia, si va alla ricerca del modo per ottenerle ugualmente, convincendo qualcuno a darcele.

È la nuova frontiera della sicurezza, ed ha molto in comune con la psicologia. Per Rodolfo Falcone, country manager di Check Point, il social engineering equivale ad andare all’assalto della mente umana, qualcosa che per molti versi può risultare molto più semplice rispetto a trovare una nuova vulnerabilità software.
Facendo il classico paragone con la sicurezza fisica, osserva, forse non vale la pena di fare troppi sforzi per manomettere una serratura quando c’è la possibilità di convincere il padrone di casa a farci entrare.

Su cosa si basa un attacco di social engineering?
La chiave sta nell’esca con cui si attira il malcapitato, dice Falcone. Ad esempio con un post su Facebook riguardante una celebrità o con un messaggio e-mail nel cui oggetto si faccia riferimento all’azienda per cui lavora.
I social network sono una fonte infinita di informazioni utili a questo scopo. Spesso le informazioni che riguardano una persona non vanno nemmeno ricercate, perché è la persona stessa a renderle pubbliche sulle reti sociali che usa.
Un profilo LinkedIn può rivelare storia e posizione lavorativa di una persona; un account Facebook consente di scoprirne hobby e amicizie.
E se le reti sociali hanno fatto molto negli ultimi anni per rafforzare i controlli sulla privacy, molti utenti non ne fanno uso in maniera adeguata o inavvertitamente li rendono inefficaci stringendo amicizia con persone che non conoscono realmente.
È interessante, ma non del tutto sorprendente, il dato secondo cui in media un falso profilo Facebook abbia oltre 700 amici.

Uno studio recentemente commissionato da Check Point a Dimensional Research, ricorda Falcone, ha rivelato come il 43% degli 853 professionisti IT intervistati nel mondo, dichiari di essere stato preso di mira da attacchi di social engineering. Dal sondaggio è emerso inoltre che i nuovi dipendenti sono i più sensibili agli attacchi con un 60% di intervistati che cita i colleghi più freschi come soggetti a rischio elevato di ingegneria sociale.
Purtroppo la formazione non sembra essere al passo con le minacce visto che solamente il 26% degli intervistati offre una formazione regolare, mentre il 34% dichiara di non avere in essere alcuna forma di education sui propri dipendenti.

La buona notizia, per Falcone, è che la tendenza sta cambiando, e sempre più aziende stanno sviluppando maggiore consapevolezza rispetto alle minacce di sicurezza e verso quali tecniche di social engineering i dipendenti siano maggiormente suscettibili.

La formazione rappresenta un elemento chiave per difendersi dagli attacchi, ma ogni processo di questo tipo non può fare a meno di una robusta policy di protezione dei dati.
Questa deve permettere il controllo delle informazioni e di chi vi abbia accesso, nonché l’impostazione di criteri che siano attuabili e correlate alle operazioni di business.
Una volta definiti, i dipendenti devono essere messi al corrente delle policy, che debbono essere testate sul campo. È essenziale condividere informazioni sugli attacchi che vengono rilevati, in modo tale che i dipendenti possano meglio comprendere come e perché vengano fatti oggetto di pirateria.
Spesso una buona dose di prudenza può lungo allungare la vita – nel caso in cui arrivi una inaspettata richiesta di informazioni private via e-mail, è bene controllare il presunto mittente per assicurarsi che sia legittimo.

Il succo delle parole di Falcone è che la sicurezza non è più solamente questione di tecnologia, ma di formazione e di aggiornamento, di consapevolezza da parte degli utenti, che devono conoscere le policy aziendali, devono comprenderle e condividerle.
E soprattutto devono avere ben chiari i rischi che derivano, per l’azienda e per loro, dal mancato rispetto di queste policy.

Cosa ancor più importante, visto che lo scenario della sicurezza è dinamico, le policy e la relativa formazione devono essere riviste continuativamente. Come è necessario aggiornare antivirus e software per la sicurezza, così è necessario aggiornare l’approccio mentale delle persone, che una volta di più si dimostrano uno degli anelli più a rischio all’interno di ogni infrastruttura di sicurezza.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome