Una recente notizia mi ha fatto capire come le emozioni e i pensieri umani possono essere (o, sono) usati per il beneficio degli altri. Quasi tutti voi conoscete Edward Snowden, l'informatore della NSA che ficcanasca in tutto il mondo. Reuters ha riferito di aver ricevuto circa 20-25 persone della NSA per consegnargli le password per recuperare alcuni dati trapelati più tardi [1]. Immagina quanto possa essere fragile la tua rete aziendale, anche con il software di sicurezza più potente e migliore!
Cos'è l'ingegneria sociale
La debolezza umana, la curiosità, le emozioni e altre caratteristiche sono state spesso utilizzate per estrarre i dati illegalmente, che si tratti di qualsiasi settore. Tuttavia, l'industria IT gli ha dato il nome di ingegneria sociale. Definisco l'ingegneria sociale come:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Ecco un'altra riga della stessa notizia [1] che voglio citare - "Le agenzie di sicurezza stanno attraversando un periodo difficile con l'idea che il ragazzo nel prossimo box potrebbe non essere affidabile“. Ho modificato la dichiarazione un po 'per adattarla al contesto qui. Puoi leggere la notizia completa usando il link nella sezione Riferimenti.
In altre parole, non hai il controllo completo sulla sicurezza delle tue organizzazioni con l'ingegneria sociale che si evolve molto più rapidamente delle tecniche per far fronte a questo. L'ingegneria sociale può essere qualsiasi cosa come chiamare qualcuno che dice di essere un supporto tecnico e chiedere loro le credenziali di accesso. Dovresti aver ricevuto mail di phishing su lotterie, persone ricche in Medio Oriente e Africa che volevano partner commerciali e offerte di lavoro per chiederti i tuoi dettagli.
A differenza degli attacchi di phishing, l'ingegneria sociale è un'interazione diretta da persona a persona. Il primo (phishing) impiega un'esca, cioè la gente che "pesca" ti sta offrendo qualcosa sperando che tu cada per questo. L'ingegneria sociale consiste nel conquistare la fiducia dei dipendenti interni affinché divulgino i dettagli aziendali di cui si ha bisogno.
Leggere: Metodi popolari di ingegneria sociale.
Tecniche di ingegneria sociale note
Ce ne sono molti, e tutti usano le tendenze umane di base per entrare nel database di qualsiasi organizzazione. La tecnica di social engineering più utilizzata (probabilmente obsoleta) è quella di chiamare e incontrare persone e farle credere che provengono dal supporto tecnico che deve controllare il computer. Possono anche creare carte d'identità false per stabilire la fiducia. In alcuni casi, i colpevoli si presentano come funzionari statali.
Un'altra tecnica famosa è quella di assumere la tua persona come dipendente nell'organizzazione di destinazione. Ora, dal momento che questo è il tuo collega, potresti fidarti di lui con i dettagli della compagnia. Il dipendente esterno potrebbe aiutarti con qualcosa, quindi ti senti obbligato, e questo è quando riescono a capire il massimo.
Ho letto anche alcune relazioni su persone che usano regali elettronici. Una fantasiosa chiavetta USB consegnata al tuo indirizzo aziendale o una chiavetta nella tua auto può essere un disastro. In un caso, qualcuno ha lasciato deliberatamente alcune unità USB nel parcheggio come esche [2].
Se la tua rete aziendale ha buone misure di sicurezza su ciascun nodo, sei benedetto. Altrimenti questi nodi forniscono un passaggio semplice per il malware - in quel dono o pen drive "dimenticati" - ai sistemi centrali.
Pertanto non possiamo fornire un elenco completo di metodi di ingegneria sociale. È una scienza al centro, unita all'arte al vertice. E tu sai che nessuno dei due ha dei limiti. I ragazzi dell'ingegneria sociale continuano a essere creativi mentre sviluppano software in grado di utilizzare in modo improprio i dispositivi wireless e di accedere al Wi-Fi aziendale.
Leggere: Cos'è il malware di ingegneria sociale.
Prevenire l'ingegneria sociale
Personalmente, non penso ci sia alcun teorema che gli amministratori possano usare per prevenire gli hack dell'ingegneria sociale. Le tecniche di ingegneria sociale continuano a cambiare e quindi diventa difficile per gli amministratori IT tenere traccia di ciò che accade.
Naturalmente, è necessario tenere un registro sulle notizie di ingegneria sociale in modo che si sia abbastanza informati per adottare misure di sicurezza appropriate. Ad esempio, nel caso di dispositivi USB, gli amministratori possono bloccare le unità USB su singoli nodi, consentendo loro solo sul server che dispone di un sistema di sicurezza migliore. Allo stesso modo, il Wi-Fi avrebbe bisogno di una crittografia migliore di quella fornita dalla maggior parte degli ISP locali.
Formare i dipendenti e condurre test casuali su diversi gruppi di dipendenti può aiutare a identificare i punti deboli dell'organizzazione. Sarebbe facile addestrare e avvertire gli individui più deboli. La vigilanza è la migliore difesa. Lo stress dovrebbe essere che le informazioni di accesso non dovrebbero essere condivise nemmeno con i capisquadra, indipendentemente dalla pressione. Se un team leader deve accedere all'accesso di un membro, può utilizzare una password principale. Questo è solo un suggerimento per stare al sicuro ed evitare gli hack di ingegneria sociale.
La linea di fondo è, oltre al malware e agli hacker online, che anche le persone IT devono prendersi cura dell'ingegneria sociale. Pur identificando i metodi di una violazione dei dati (come la scrittura di password ecc.), Gli amministratori dovrebbero anche assicurarsi che il loro personale sia abbastanza intelligente da identificare una tecnica di ingegneria sociale per evitarlo del tutto. Quali pensi che siano i migliori metodi per prevenire l'ingegneria sociale? Se hai trovato un caso interessante, per favore condividi con noi.
Scarica questo ebook su Social Engineering Attack rilasciato da Microsoft e scopri come è possibile rilevare e prevenire tali attacchi nella tua organizzazione.
Riferimenti
[1] Reuters, Snowden ha convinto i dipendenti della NSA a ottenere le informazioni di accesso
[2] Boing Net, Pen Drives utilizzato per diffondere malware.
