Comprendi l'ingegneria sociale - Protezione contro l'hacking umano

Una notizia recente mi ha fatto capire come le emozioni e i pensieri umani possono essere (o sono) usati a beneficio degli altri. Quasi tutti voi conoscete Edward Snowden , l'informatore della NSA che curiosa in tutto il mondo. Reuters ha riferito di aver convinto circa 20-25 persone dell'NSA(NSA) a consegnargli le password per il recupero di alcuni dati trapelati in seguito [1]. Immagina(Imagine) quanto può essere fragile la tua rete aziendale, anche con il software di sicurezza più potente e migliore!

Ingegneria sociale

Cos'è l'Ingegneria Sociale

La debolezza umana(Human) , la curiosità, le emozioni e altre caratteristiche sono state spesso utilizzate per estrarre dati illegalmente, indipendentemente dal settore. L' industria IT(IT Industry) , tuttavia, le ha dato il nome di ingegneria sociale. Definisco ingegneria sociale come:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Ecco un'altra riga della stessa notizia [1] che voglio citare: " Le agenzie di sicurezza stanno attraversando un periodo difficile con l'idea che il ragazzo nel cubicolo accanto potrebbe non essere affidabile(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ". Ho modificato un po' la dichiarazione per adattarla al contesto qui. Puoi leggere la notizia completa utilizzando il link nella sezione Riferimenti(References) .

In altre parole, non hai il controllo completo sulla sicurezza delle tue organizzazioni con l'ingegneria sociale che si evolve molto più velocemente delle tecniche per farvi fronte. L'ingegneria sociale(Social) può essere qualcosa come chiamare qualcuno che dice che sei il supporto tecnico e chiedere loro le credenziali di accesso. Devi aver ricevuto e-mail di phishing su lotterie, persone ricche del Medio Oriente(Mid East) e dell'Africa(Africa) che volevano partner commerciali e offerte di lavoro che ti chiedevano i tuoi dettagli.

A differenza degli attacchi di phishing, l'ingegneria sociale è in gran parte un'interazione diretta da persona a persona. Il primo (phishing) utilizza un'esca, ovvero la gente che "pesca" ti offre qualcosa sperando che tu ci caschi. L'ingegneria sociale(Social) consiste più nel conquistare la fiducia dei dipendenti interni in modo che divulghino i dettagli aziendali di cui hai bisogno.

Leggi: (Read:) Metodi popolari di ingegneria sociale .

Tecniche di ingegneria sociale conosciute

Ce ne sono molti e tutti usano le tendenze umane di base per entrare nel database di qualsiasi organizzazione. La tecnica di ingegneria sociale più utilizzata (probabilmente obsoleta) è chiamare e incontrare persone e far credere loro che provengano dal supporto tecnico che ha bisogno di controllare il tuo computer. Possono anche creare carte d'identità false per stabilire la fiducia. In alcuni casi, i colpevoli si atteggiano a funzionari statali.

Un'altra tecnica famosa è quella di assumere la tua persona come dipendente nell'organizzazione target. Ora, dal momento che questo truffatore è un tuo collega, potresti fidarti di lui con i dettagli dell'azienda. Il dipendente esterno potrebbe aiutarti con qualcosa, quindi ti senti obbligato, ed è allora che possono distinguere il massimo.

Ho anche letto alcuni rapporti su persone che usano regali elettronici. Una chiavetta USB(USB) di fantasia consegnata all'indirizzo della tua azienda o una pen drive che giace nella tua auto può rivelarsi un disastro. In un caso, qualcuno ha lasciato deliberatamente alcune unità USB nel parcheggio come esche [2].

Se la tua rete aziendale ha buone misure di sicurezza su ogni nodo, sei fortunato. Altrimenti, questi nodi forniscono un facile passaggio per il malware - in quel regalo o pen drive "dimenticati" - ai sistemi centrali.

Pertanto, non possiamo fornire un elenco completo di metodi di ingegneria sociale. È una scienza al centro, combinata con l'arte in alto. E sai che nessuno dei due ha confini. I ragazzi dell'ingegneria sociale(Social) continuano a essere creativi mentre sviluppano software che possono anche utilizzare in modo improprio i dispositivi wireless che ottengono l'accesso al Wi-Fi aziendale .

Leggi: (Read:) Cos'è il malware socialmente ingegnerizzato .

Prevenire l'ingegneria sociale

Personalmente, non credo che ci sia alcun teorema che gli amministratori possano utilizzare per prevenire gli hack di ingegneria sociale. Le tecniche di ingegneria sociale continuano a cambiare e quindi diventa difficile per gli amministratori IT tenere traccia di ciò che sta accadendo.

Naturalmente, è necessario tenere d'occhio le notizie di ingegneria sociale in modo da essere sufficientemente informati da adottare le misure di sicurezza appropriate. Ad esempio, nel caso dei dispositivi USB , gli amministratori possono bloccare le unità USB sui singoli nodi consentendole solo sul server che dispone di un sistema di sicurezza migliore. Allo stesso modo(Likewise) , il Wi-Fi(Wi-Fi) avrebbe bisogno di una crittografia migliore rispetto a quella fornita dalla maggior parte degli ISP(ISPs) locali .

La formazione dei dipendenti e l'esecuzione di test casuali su diversi gruppi di dipendenti possono aiutare a identificare i punti deboli dell'organizzazione. Sarebbe facile addestrare e mettere in guardia gli individui più deboli. La prontezza(Alertness) è la migliore difesa. Lo stress dovrebbe essere che le informazioni di accesso non dovrebbero essere condivise nemmeno con i team leader, indipendentemente dalla pressione. Se un team leader ha bisogno di accedere al login di un membro, può utilizzare una password principale. Questo è solo un suggerimento per stare al sicuro ed evitare gli hack di ingegneria sociale.

La conclusione è che, a parte il malware e gli hacker online, il personale IT deve occuparsi anche dell'ingegneria sociale. Mentre identificano i metodi di violazione dei dati (come annotare le password, ecc.), gli amministratori dovrebbero anche assicurarsi che il proprio personale sia abbastanza intelligente da identificare una tecnica di ingegneria sociale per evitarlo del tutto. Quali pensi siano i metodi migliori per prevenire l'ingegneria sociale? Se ti sei imbattuto in qualche caso interessante, condividilo con noi.

Scarica questo ebook sugli attacchi di ingegneria sociale rilasciato da Microsoft e scopri come rilevare e prevenire tali attacchi nella tua organizzazione.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)

Riferimenti(References)

[1] Reuters , Snowden ha convinto i dipendenti della NSA a(NSA Employees Into) ottenere le loro informazioni di accesso(Info)

[2] Boing Net , Pen Drive utilizzate per diffondere malware(Spread Malware) .



Samuele Milani

About the author

ingegnere audiofilo e specialista di prodotti audio con oltre 10 anni di esperienza. Sono specializzato nella creazione di altoparlanti e cuffie per musica di qualità dall'inizio alla fine. Sono un esperto nella risoluzione dei problemi audio e nella progettazione di nuovi altoparlanti e sistemi di cuffie. La mia esperienza va oltre la semplice realizzazione di buoni prodotti; Ho anche una passione per aiutare gli altri a essere il meglio di sé possibile, sia attraverso l'istruzione che il servizio alla comunità.


Related posts