Ingegneria sociale

Garantire un adeguato livello di sicurezza delle informazioni presenta una grande sfida per un’organizzazione che ha a che fare con un gran numero di differenti profili di dipendenti. Il modo più efficace di verificare la consapevolezza e la formazione dei dipendenti è l’implementazione della così detta ingegneria sociale.

L’ingegneria sociale è un insieme di tecniche con cui l’hacker inganna o induce l’utente a eseguire una determinata attività (ad esempio: aprire una e-mail pericolosa, utilizzare una chiavetta USB contenente codice dannoso) consentendogli così l’accesso alle informazioni confidenziali dell’organizzazione. L’hacker infatti usufruisce solitamente delle reazioni degli utenti a una determinata situazione (un’offerta attraente, fiducia, disponibilità ad aiutare, ecc.). Ci sono diverse forme di ingegneria sociale:

  • Metodi tecnici,
  • Contatto personale,
  • Minacce e ricatti.

Per realizzare l’ingegneria sociale è necessario raccogliere molte informazioni sull’organizzazione e sui suoi potenziali bersagli (dipendenti). Le informazioni possono essere ottenute utilizzando informazioni pubblicamente disponibili (pagine web, elenchi telefonici, ecc.), visite all’azienda o tramite contatti con i dipendenti stessi.

Esempi di scenari di verifiche dei dipendenti:

  • invio di e-mail "ostili",
  • installazione di codice dannoso su un mezzo di trasmissione,
  • installazione di un’applicazione "ostile" su un dispositivo mobile,
  • collegamento di un dispositivo non autorizzato nella rete interna dell’azienda,
  • acquisizione delle informazioni per telefono, di persona, via posta regolare o e-mail,
  • accesso ai locali di lavoro senza identificarsi all’entrata,
  • accesso alla zona protetta con il badge di un’altra persona.

In base ai scenari eseguiti viene preparato il rapporto comprendente la statistica sull’efficacia degli attacchi e i suggerimenti per il miglioramento della consapevolezza dei dipendenti nella protezione delle informazioni e dei meccanismi di sicurezza esistenti.