Ingegneria sociale
Garantire un adeguato livello di sicurezza delle informazioni presenta una grande sfida per un’organizzazione che ha a che fare con un gran numero di differenti profili di dipendenti. Il modo più efficace di verificare la consapevolezza e la formazione dei dipendenti è l’implementazione della così detta ingegneria sociale.
L’ingegneria sociale è un insieme di tecniche con cui l’hacker inganna o induce l’utente a eseguire una determinata attività (ad esempio: aprire una e-mail pericolosa, utilizzare una chiavetta USB contenente codice dannoso) consentendogli così l’accesso alle informazioni confidenziali dell’organizzazione. L’hacker infatti usufruisce solitamente delle reazioni degli utenti a una determinata situazione (un’offerta attraente, fiducia, disponibilità ad aiutare, ecc.). Ci sono diverse forme di ingegneria sociale:
-
Metodi tecnici,
-
Contatto personale,
-
Minacce e ricatti.
Per realizzare l’ingegneria sociale è necessario raccogliere molte informazioni sull’organizzazione e sui suoi potenziali bersagli (dipendenti). Le informazioni possono essere ottenute utilizzando informazioni pubblicamente disponibili (pagine web, elenchi telefonici, ecc.), visite all’azienda o tramite contatti con i dipendenti stessi.
Esempi di scenari di verifiche dei dipendenti:
-
invio di e-mail “ostili”,
-
installazione di codice dannoso su un mezzo di trasmissione,
-
installazione di un’applicazione “ostile” su un dispositivo mobile,
-
collegamento di un dispositivo non autorizzato nella rete interna dell’azienda,
-
acquisizione delle informazioni per telefono, di persona, via posta regolare o e-mail,
-
accesso ai locali di lavoro senza identificarsi all’entrata,
-
accesso alla zona protetta con il badge di un’altra persona.
In base ai scenari eseguiti viene preparato il rapporto comprendente la statistica sull’efficacia degli attacchi e i suggerimenti per il miglioramento della consapevolezza dei dipendenti nella protezione delle informazioni e dei meccanismi di sicurezza esistenti.