Social Engineering: come difendere i tuoi dipendenti e l’azienda

Il social engineering, in italiano ingegneria sociale, è un insieme di tecniche utilizzate dai cybercriminali per ottenere dati d’accesso o informazioni riservate per compiere crimini informatici.
Una tipologia di attacco che sfrutta la componente emotiva e umana dei dipendenti di un’azienda per creare un varco di accesso che l’hacker utilizzerà per violare i sistemi.
Ecco come funziona e come difendere la propria azienda.

social engineering: come difendere dipendenti e azienda

Cosa s’intende per Social Engineering?

I criminali informatici sfruttano diverse tecniche di manipolazione dell’utente per farsi consegnare dati riservati, come informazioni personali, password, credenziali per accedere ai sistemi.
Lo scopo può essere anche quello di indurre il malcapitato a cliccare su dei link malevoli dal proprio account di posta elettronica, il classico phishing, così da poter infettare la rete con un malware o altri codici malevoli.
Ma anziché “sparare nel mucchio” sperando che qualcuno ci caschi, le tecniche di social engineering prevedono una prima fase di studio dell’utente per capire gli schemi di comportamento, abitudini digitali, paure o desideri da sfruttare a proprio vantaggio.
La prima fase di solito include anche uno studio approfondito dei profili social, o addirittura della spazzatura, nella speranza di trovare un documento o indizi utili da utilizzare.
L’errore più grande è sottovalutare l’operato di questi criminali pensando di essere abbastanza furbi per non cadere nella trappola. In realtà, i metodi di manipolazione sono talmente sofisticati, da indurci a credere che la situazione sia perfettamente normale e spingerci a compiere determinate azioni. La leva che sfruttano è di tipo emotivo: senso di colpa, rabbia, avidità, curiosità, compassione, sono tutte emozioni che il cybercriminale tenterà di sfruttare a suo vantaggio.

cybercriminale - fase di studio di social engineering

Tipi di attacchi

Una volta conclusa la fase di studio dell’utente, il criminale informatico tenterà l’attacco. Le modalità più comuni sono:

Attacchi worm:
Lo scopo è indurre l’utente a cliccare su un link che scarica un malware. Il mittente del messaggio si spaccerà per qualcuno che ha qualcosa di molto interessante da offrire, oppure proverà a passare per un’azienda o un ente affidabile, come ad esempio la propria banca. I canali utilizzati sono le email, piattaforme di messaggistica istantanea, sms, chatroom.
Attacchi Pretexting:
L’utente riceverà una telefonata da un interlocutore che si presenterà come un operatore di un servizio che l’utente già utilizza, ad esempio un customer care. Le conversazioni mirano a creare un rapporto di empatia con l’utente, per far scattare un senso di urgenza e di paura per convincerlo a comunicare le informazioni sensibili.
In questo caso è importante diffidare di coloro che chiedono codici di accesso, password o numeri di carta di credito.
Attacchi Baiting:
Per questo tipo di attacco, il criminale informatico abbandonerà una chiavetta USB o un hard disk in un luogo pubblico vicino o all’interno dell’azienda, ad esempio nella hall, in un bagno pubblico, in un parcheggio. Il dipendente che troverà il dispositivo e che spinto dalla curiosità proverà ad utilizzare il supporto sul proprio PC, scaricherà in automatico un codice maligno dando l’accesso alla rete informatica. Ecco perché molte aziende decidono di bloccare tutte le porte USB dei PC.

Come difendere l’azienda dagli attacchi di social engineering?

non comunicare i dati della carta di credito

L’agenzia Europea di Cybersecurity (Enisa) ha recentemente rilasciato un documento informativo che riporta le principali regole da seguire per evitare di cadere nella trappola:
La prima raccomandazione è quella di non condividere mai le proprie informazioni personali. Soprattutto online.
Banche, enti governativi e aziende di servizi difficilmente chiederanno di inviare via email o di comunicare telefonicamente le proprie credenziali di accesso.
Il secondo consiglio è quello di non abbassare mai la guardia. Occorre chiedersi sempre se l’interlocutore o il sito che stiamo navigando sia affidabile prima di condividere qualsiasi informazione di carattere personale.
La terza raccomandazione è un invito al buon senso. Soprattutto sui social network è importante stare attenti a ciò che si condivide, poiché sono la prima fonte di informazioni per i cyber criminali.
Infine, come MSP, aggiungiamo che è sempre importante lavorare sulla cultura aziendale, in modo da informare i propri dipendenti sui rischi e fornire le linee guida di comportamento.
In definitiva, il social engineering non prende di mira le soluzioni informatiche, ma le persone. Ecco perché l’unica difesa efficace è la prevenzione.

Se hai bisogno di una consulenza o di materiale informativo sul tema della sicurezza informatica, non esitare a contattarci per una chiacchierata senza impegno.

Hai una domanda o vuoi un consiglio ?

Sei nel posto giusto. Compila il seguente form con i tuoi dati, che utilizzeremo per poterti ricontattare e offrirti una consulenza gratuita e senza impegno.

* campi obbligatori

Hai una domanda o vuoi un consiglio ?

Sei nel posto giusto. Compila il seguente form con i tuoi dati, che utilizzeremo per poterti ricontattare e offrirti una consulenza gratuita e senza impegno.

* campi obbligatori

      
   SISTEVO SRL
   18 recensioni su Google 
  Scrivi una recensione 
  
 
        
   andrea valencia marin 
 
 
 
   Attenzione di primo livello. l'opzione migliore per le piccole imprese
  
 
 
       
   Gianfranco Pasini 
 
 
 
   Ok
  
 
 
       
   Jacopo Pesenti 
 
 
 
   Buongiorno.
Sono molto contento del lavoro svolto con Marco e la sua squadra e lascio pertanto molto volentieri questa recensione riguardo al loro operato.
Nella mia come in qualunque altra professione, credo che siano fondamentali ed imprescindibili sia la competenza che l'umanità.
Fin da subito Marco mi ha dimostrato di possedere entrambe, e proprio per questo sono sicuro che per eventuali future collaborazioni mi rivolgerò di nuovo a lui, certo tanto delle sue capacità quanto della sua disponibilità.
Grazie davvero, Marco.
Dott. Jacopo Pesenti
  
 
 
       
   Alberto Fumagalli 
 
 
 
   Efficienti, rapidi, gentili, professionali.
  
 
 
       
   Tiziano Moraca 
 
 
 
   Azienda seria ed affidabile
  
 
 
       
   Simone P. 
 
 
 
   Azienda seria e affidabile. L'abbiamo messa alla prova in diverse occasioni di emergenza e si sono dimostrati disponibili ma soprattutto competenti, che in quel campo è importantissimo
  
 
 
       
   Franco Ferrero 
 
 
 
   Servizio di assistenza valido ed efficace. Preservato un rapporto individuale e di guida nelle problematiche presentatesi che ho personalmente molto gradito da utente non nativo digitale.
  
 
 
       
   Elena Belloni 
 
 
 
   Credo che il servizio dato da Sistevo sia impeccabile! professionalità, grande preparazione e velocità!
Per un'azienda avere delle figure di riferimento di questo livello è essenziale! Marco non si limita al suo  lavoro, ma offre anche consulenza su più fronti aiutando il cliente a scegliere per il meglio. qualità più che ottima!
  
 
 
       
   Petrilli Gianluca 
 
 
 
   Ottima azienda personale qualificato e molto  disponibile............. tutti i problemi che abbiamo avuto in azienda sempre risolti in poche ore
  
 
 
       
   Federico fumagalli 
 
 
 
   non abbiamo modo di lamentarci per tutte le necessità richieste.
  
 
 
  
  Carica di più