ALLERTA PERICOLI INFORMATICI

Il fattore umano: l’anello debole nella catena della security

Il fattore umano: l’anello debole nella catena della security
Scritto da gestore

Le tecniche di Social Engineering sfruttano la vulnerabilità del fattore umano, l’anello più debole nella catena della gestione della security aziendale. Per quanto sembri un concetto scontato e ormai passato di moda, vista anche la crescente attenzione mediatica dedicata al tema della sicurezza informatica negli ultimi anni, il comportamento umano è all’origine di numerosi data breach
Il comportamento umano continua a rappresentare un elemento di rischio persistente, che costituisce per le aziende la principale vulnerabilità in termini di sicurezza. È quanto emerge dalla Ricerca condotta nel 2018 dall’Osservatorio Information Security & Privacy del Politecnico di Milano: tra le diverse tipologie di vulnerabilità che hanno aumentato l’esposizione al rischio delle organizzazioni intervistate nel corso degli ultimi 12 mesi, emergono fattori legati alla tecnologia, come la presenza di sistemi IT obsoleti o eterogenei o aggiornamenti e patch non effettuati con regolarità, ma sono la distrazione e la scarsa consapevolezza dei dipendenti a rappresentare ancora una volta la criticità prevalente per l’82% delle aziende [1].

Oltre a investimenti in tecnologie di sicurezza orientate a proteggere l’organizzazione da attacchi provenienti dall’esterno, è quindi fondamentale non sottovalutare i rischi provenienti dall’interno dell’organizzazione: i cybercriminali spesso non utilizzano sistemi tecnologici particolarmente sofisticati, ma sfruttano aspetti del comportamento umano, come la poca attenzione o la mancanza di coscienza rispetto ai rischi, per fare breccia nei sistemi aziendali.

Intermezzo promozionale ... continua la lettura dopo il box:

Indice degli argomenti

Le minacce: cosa si intende per Social Engineering
Le motivazioni alla base di un attacco informatico possono essere molteplici: un cybercriminale può essere spinto da motivi economici e quindi attaccare per cercare di estorcere denaro, agire con finalità di spionaggio, trafugando informazioni legate alla proprietà intellettuale o industriale (brevetti, marchi), piuttosto che essere guidato da cause ideologiche o politiche (hacktivism).

Gli attacchi che sfruttano la vulnerabilità del fattore umano sono spesso progettati secondo logiche di Social Engineering. Per Social Engineering si intende una tecnica basata sullo studio del comportamento individuale di una persona, con l’obiettivo di carpire informazioni utili per l’attaccante.

La fase di attacco vera e propria è preceduta da una lunga sessione di studio della personalità, dei contatti sociali e dei modi di relazionarsi con gli altri. Un processo di Social Engineering parte infatti da un’accurata raccolta di informazioni sull’azienda target, reperite da tutte le fonti a disposizione (sito web aziendale, social network, dati societari, documenti disponibili in rete, ecc.) con l’obiettivo di conoscere a fondo l’azienda identificata come vittima e i dipendenti che vi operano. Una volta che il social engineer ha ottenuto le informazioni di cui aveva bisogno per architettare l’attacco, ecco che si passa alla fase operativa.

Gli strumenti di ingegneria sociale maggiormente utilizzati sono email, telefono, siti web, social network. I metodi per mettere a segno l’attacco possono essere molteplici: dal phishing al pretexting, dal baiting allo sfruttamento della “spazzatura informatica”. Di seguito vengono raccontate alcune tecniche diffuse che, seppure non in modo esaustivo, danno l’idea di come i cybercriminali utilizzino le metodologie più disparate per assestare i propri attacchi:

Phishing
un esempio molto comune di attacco basato sul comportamento umano è il phishing, un tentativo di truffa, realizzato sfruttando la posta elettronica, che ha per scopo il furto di dati personali degli utenti ignari i quali, spinti dalla curiosità o tratti in inganno dal mittente della mail, “abboccano”, cliccando sul link malevolo, inserendo le proprie credenziali oppure scaricando un allegato infetto. Generalmente i mittenti delle mail di phishing fingono di essere organizzazioni conosciute, come per esempio banche o servizi web che l’utente potrebbe effettivamente utilizzare, che contattano la vittima segnalando di aver riscontrato un problema oppure richiedendo la verifica e l’inserimento di alcune informazioni personali. Spesso l’attacco può essere studiato e targettizzato (spear phishing), provenire da una mail o da un nominativo familiare al destinatario e contenere link che rimandano a pagine web simili in tutto e per tutto ai siti originali. Il phishing può avvenire anche tramite strumenti diversi dalla posta elettronica: sono infatti sempre più diffusi anche tentativi di frode via SMS (Smishing) o veicolati tramite piattaforme di instant messaging, come WhatsApp o Telegram.

Pretexting
Nell’ambito dell’ingegneria sociale è di uso frequente anche la tecnica del pretexting, in cui l’attaccante contatta telefonicamente la vittima designata simulando un contesto particolare. Il mittente della telefonata si finge per esempio un dipendente bancario o di un ufficio pubblico e cerca di instaurare un rapporto di fiducia con l’utente, inducendolo a divulgare le informazioni di cui ha bisogno.

Intermezzo promozionale ... continua la lettura dopo il box:

Baiting
L’adescamento è una metodologia di Social Engineering che fa leva sulla curiosità umana. L’hacker utilizza un’esca, lasciando incustodito e ben in vista un supporto di memorizzazione, come una chiavetta USB, un cd, un hard disk, ecc., contenente al suo interno del codice maligno. Lo scopo dell’attacco è quello di indurre la vittima, spinta dalla curiosità, ad inserire il dispositivo nel proprio computer, accedendo in questo modo all’intera rete aziendale.

Trashing
Un’ulteriore pratica utilizzata per ottenere l’accesso a informazioni riservate è il trashing, metodo tramite il quale i criminali setacciano la spazzatura alla ricerca di bollette, estratti conto ed altri documenti contenenti dati sensibili. Obiettivo degli hacker possono essere anche i sistemi che vengono dismessi, come ad esempio smartphone, laptop o dispositivi USB guasti, che, se non opportunamente resettati, possono essere fonte di preziose informazioni.

Altre tecniche
Il metodo del Quid pro quo prevede che il social engineer offra un servizio o un aiuto in cambio di un benefit. Può avvenire per esempio quando l’attaccante, fingendosi un tecnico IT, contatta telefonicamente alcuni dipendenti per offrire loro supporto, in cambio della richiesta di alcune informazioni (es. password) oppure chiedendo loro di disattivare momentaneamente l’antivirus e installare un programma contenente malware. Un cybercriminale che punta ad entrare fisicamente in un’area a cui l’accesso è ristretto può infine utilizzare la tecnica del tailgating, semplicemente seguendo un dipendente autorizzato o chiedendo una cortesia fingendo di aver dimenticato il badge di accesso all’area.

In aggiunta alle numerose minacce informatiche provenienti dal mondo esterno, una perdita di dati può essere causata anche da un evento accidentale, come per esempio il comportamento inconsapevole di un utente, la perdita di un dispositivo o la cancellazione involontaria.

Parola d’ordine: sensibilizzare per mitigare la vulnerabilità umana
Per cercare di mitigare la naturale vulnerabilità legata alle risorse umane, è quindi fondamentale che le organizzazioni sviluppino una precisa strategia di sensibilizzazione dei dipendenti sui temi dell’information security e della protezione dei dati, tramite la definizione di opportuni programmi di formazione.

L’80% delle aziende è già corso ai ripari, strutturando nel corso del 2018 un piano di formazione dei propri utenti aziendali con orizzonte annuale o pluriennale.

Le tipologie di iniziative che possono essere messe a punto per la sensibilizzazione degli utenti sono molteplici: la maggior parte delle aziende si affida a corsi online, ricorrendo a strumenti multimediali per rendere la formazione facilmente fruibile e accessibile a tutti i dipendenti. Molte organizzazioni propendono invece per metodi più tradizionali, come la formazione in aula o l’invio di comunicazioni periodiche ai dipendenti aziendali, in forma di mail e newsletter o la distribuzione di materiale informativo (voucher, booklet, cartellonistica, magazine aziendale), che permettono alla popolazione aziendale di rimanere sempre aggiornata e consapevole rispetto alla continua evoluzione delle minacce.

La simulazione di attacchi informatici rappresenta un ulteriore strumento di formazione, basato sull’esperienza diretta, e può essere utile da un lato a misurare il livello di consapevolezza dei dipendenti, mettendone alla prova la resistenza agli attacchi informatici, dall’altro a testare l’efficacia delle iniziative già portate avanti

Un ulteriore strumento a disposizione delle aziende sono le iniziative di training informale, basate su un approccio meno strutturato e più “amichevole”. Le attività di questa categoria possono riguardare per esempio l’organizzazione di incontri informali con esperti di sicurezza (es. Ethical Hacker), lo svolgimento di test di auto-valutazione del proprio livello di awareness, la creazione di piattaforme social di confronto, quali blog e forum, o ancora l’erogazione di formazione tramite gamification.

Qualunque sia la modalità scelta, lo scopo delle iniziative di sensibilizzazione è quello di sviluppare negli utenti le competenze essenziali, le tecniche e i metodi fondamentali per prevenire al massimo i rischi legati alla sicurezza e sapere come reagire e comportarsi di fronte ad eventuali criticità, con il risultato ad alto livello di provocare un cambiamento radicale nella cultura e nell’approccio dei dipendenti dell’azienda rispetto ai temi della sicurezza e della privacy.

[1] I dati fanno riferimento ad una rilevazione condotta tra settembre e dicembre 2018 dall’Osservatorio Information Security & Privacy del Politecnico di Milano che ha coinvolto 166 imprese di grandi dimensioni, appartenenti a tutti i settori merceologici.

Giorgia Dragoni

Il fattore umano: l’anello debole nella catena della security