12.10.2023 - Il termine «hacker» viene spesso utilizzato in relazione ai ciberattacchi, rendendo facilmente l’idea che gli aggressori penetrino nei sistemi informatici delle aziende principalmente attraverso vulnerabilità tecniche. Ma tale impressione è ingannevole. In molti casi un malware entra nel sistema aziendale mediante i suoi stessi collaboratori, perché questi ultimi sono vittime di ingegneria sociale. Per questo motivo è importante che i collaboratori siano consapevoli dei metodi di ingegneria sociale e sappiano come comportarsi in caso di attacco. A volte le aziende si rivolgono a ingegneri sociali professionisti per sensibilizzare i collaboratori.
Secondo lo studio pubblicato a maggio del 2022 dalla Scuola universitaria di Lucerna (Hochschule Luzern), La Mobiliare ed economiesuisse, i ciber-rischi sono spesso trattati come un problema puramente informatico. Tuttavia, anche i collaboratori possono rappresentare una vulnerabilità se cadono vittime dell’ingegneria sociale e quindi costituire un rischio per la sicurezza. Nel caso dell’ingegneria sociale, i criminali si informano in anticipo sulla struttura aziendale od organizzativa, reperendo informazioni pubblicamente accessibili, ad esempio sul sito Internet dell’azienda. Sulla base delle informazioni raccolte, gli aggressori selezionano una persona da colpire che poi confrontano con uno scenario fatto su misura. Gli attacchi avvengono per lo più tramite e-mail (phishing) o telefono (vishing). I truffatori cercano di destabilizzare la vittima, sottolineando l’urgenza della situazione, facendo riferimento alla loro autorità, parlando di intoppi o di svantaggi finanziari se la vittima non agisce come richiesto.
Tuttavia, l’ingegneria sociale non avviene solo online. Spesso gli aggressori ottengono anche l’accesso fisico all’edificio e alle aree riservate, seguendo una persona autorizzata e fingendosi, ad esempio, un addetto alla manutenzione o un fornitore. In questo caso si parla anche di «tailgaiting», termine derivante dall’inglese che significa «seguire da vicino», «tallonare». Il più delle volte, il tailgating è il risultato di un atto di gentilezza casuale, come tenere la porta a un visitatore senza permesso o a una persona sconosciuta che si spaccia per un collaboratore, un corriere o un tecnico.
Per sensibilizzare i propri collaboratori, le aziende talvolta si rivolgono a ingegneri sociali professionisti. Questi esperti si comportano proprio come gli aggressori, travestendosi ad esempio da custodi o fornitori per accedere all’edificio. Per dare un’idea dell’entusiasmante lavoro di un ingegnere professionista, il 19 ottobre l’NCSC organizza un brownbag lunch con Ivano Somaini.
Gli interessati possono iscriversi al seguente link:
Le presentazioni si tengono in tedesco.
Consigli
- Non fidatevi di chiunque vi chiami o vi mandi un messaggio di posta elettronica.
- Non lasciatevi intimidire né mettere sotto pressione.
- Non fornite mai password o PIN per telefono o e-mail.
- Non rivelate informazioni aziendali a sconosciuti.
- Terminate immediatamente le chiamate sospette e cancellate subito le e-mail dal contenuto oscuro.
- Parlate con gli sconosciuti per chiedere chiarimenti sulla loro presenza non autorizzata nei vostri locali.
Ulteriori informazioni:
Ultima modifica 12.10.2023