La scorsa settimana abbiamo dato un'occhiata ad alcune delle principali minacce di ingegneria sociale Che cos'è l'ingegneria sociale? [MakeUseOf Explains] Cos'è l'ingegneria sociale? [MakeUseOf Explains] È possibile installare il firewall più potente e costoso del settore. Puoi educare i dipendenti sulle procedure di sicurezza di base e sull'importanza di scegliere password sicure. Puoi persino bloccare la stanza del server, ma come ... Leggi di più che tu, la tua azienda o i tuoi dipendenti dovresti cercare. In poche parole, l'ingegneria sociale è simile a un trucco di fiducia in cui un attaccante ottiene accesso, informazioni o denaro guadagnando la fiducia della vittima.
Queste tecniche possono andare dalle frodi di phishing via e-mail per elaborare trucchi telefonici e attacchi invasivi di pretexting. Mentre non esiste un modo definitivo per fermare gli ingegneri sociali, ci sono alcune cose da ricordare per evitare che questo tipo di attacchi diventi troppo serio. Come sempre, la tua migliore difesa è la conoscenza e la vigilanza costante.
Proteggere dagli attacchi fisici
Molte aziende educano la loro squadra di sicurezza della rete sui pericoli di un attacco fisico. Un metodo noto come "tailgating" è utilizzato in molti attacchi fisici per ottenere l'accesso ad aree limitate senza autorizzazione. Questo attacco si basa su una semplice cortesia umana: tenere una porta per qualcuno, ma una volta che l'attaccante ottiene l'accesso fisico, la violazione della sicurezza diventa molto seria.
Anche se questo non si applica realmente in uno scenario domestico (è improbabile che tu possa tenere la tua porta aperta per un estraneo ora, vero?) Ci sono alcune cose che puoi fare per ridurre le possibilità di cadere vittima di un social engineering attacco che dipende da materiali fisici o da una posizione.
Il pretexting è una tecnica utilizzata dagli aggressori che prima trovano informazioni sulla loro vittima (ad esempio da un estratto conto o carta di credito) che possono quindi utilizzare contro la vittima convincendoli che hanno un senso di autorità. La protezione più elementare contro questo tipo di attacco (a volte indicato come "immersione con cassonetto") consiste nel distruggere tutti i materiali che contengono informazioni personali importanti.
Questo vale anche per i dati digitali, quindi i vecchi dischi rigidi dovrebbero essere adeguatamente distrutti (fisicamente) e anche i supporti ottici possono essere distrutti. Alcune aziende lo prendono persino a tal punto che bloccano i loro rifiuti e hanno la sicurezza di monitorarlo. Considera i documenti non triturati che butti via - calendari, ricevute, fatture e persino promemoria personali - e poi considera se queste informazioni potrebbero essere usate contro di te.
Il pensiero di un furto con scasso non è particolarmente bello, ma se il tuo laptop è stato rubato Track Down e Recupera il tuo laptop rubato con Prey Track Down e Recupera il tuo laptop rubato con Prey Leggi di più domani sarebbe adeguatamente bloccato? Computer portatili, smartphone e altri dispositivi che accedono alle tue informazioni personali, agli account di posta elettronica e social network devono essere sempre protetti con password sicure Come creare una password sicura che non dimenticherai Come creare una password sicura che non dimenticheresti Sai come creare e ricordare una buona password? Ecco alcuni suggerimenti e trucchi per mantenere password forti e separate per tutti i tuoi account online. Leggi di più e codici. Se sei davvero paranoico riguardo al furto potresti anche voler crittografare i dati sul tuo disco rigido usando qualcosa come TrueCrypt Come fare cartelle crittografate Altri non possono visualizzare con TrueCrypt 7 Come creare cartelle crittografate Altri non possono visualizzare con Truecrypt 7 Ulteriori informazioni o BitLocker.
Ricorda: qualsiasi informazione che un ladro può estrarre può essere utilizzata contro di te in futuri attacchi, mesi o anni dopo l'incidente.
Adescamento - lasciare un dispositivo malevolo come una chiavetta USB compromessa dove può essere facilmente trovato - è facilmente evitato non lasciando che le tue curiosità abbiano la meglio su di te. Se trovi una chiavetta USB nella tua veranda, trattala con il massimo sospetto. Le chiavette USB possono essere utilizzate per installare keylogger, trojan e altri software indesiderati per estrarre informazioni e presentare una minaccia molto reale.
Prevenire gli attacchi psicologici
Quasi tutti gli attacchi di ingegneria sociale sono psicologici per la loro stessa definizione, ma a differenza del pretesto che richiede conoscenze pregresse, alcuni attacchi sono puramente psicologici. Proteggere da questo tipo di attacchi è attualmente una grande priorità per molte aziende, e questo implica educazione, vigilanza e spesso pensare come un aggressore.
Le aziende stanno ora iniziando a istruire lo staff ad ogni livello, poiché la maggior parte degli attacchi inizia con la guardia di sicurezza all'ingresso o dall'addetto alla reception. Questo in genere implica istruire i dipendenti a diffidare di richieste sospette, individui invadenti o qualsiasi altra cosa che non si aggiunge. Questa vigilanza è facilmente trasferibile nella vita quotidiana, ma dipende dalla capacità di identificare richieste di informazioni riservate.
Mentre gli attacchi online via email e instant messaging sono sempre più frequenti, gli attacchi di social engineering via telefono (e VoIP, che rende più difficile rintracciare la fonte) sono ancora una minaccia reale. Il modo più semplice per evitare un attacco è terminare la chiamata nel momento in cui sospetti qualcosa.
È possibile che la tua banca ti chiami, ma raramente chiederanno la tua password o altre informazioni a titolo definitivo. Se tale chiamata ha luogo, richiedere il numero di telefono della banca, ricontrollare e richiamare. Potrebbero essere necessari altri cinque minuti, ma i tuoi fondi e le tue informazioni personali sono al sicuro e la banca capirà. Allo stesso modo, è molto improbabile che una compagnia di sicurezza chiami per avvertirti di problemi con il tuo computer. Tratta tutte le chiamate come una truffa, sii sospettoso e non compromettere il PC Tecnici informatici per la chiamata a freddo: non cadere per una truffa come questa [Allarme truffa!] Tecnici informatici che chiamano a freddo: non cadere per una truffa come questa [ Scam Alert!] Probabilmente hai sentito il termine "non imbrogliare un truffatore", ma mi è sempre piaciuto "non truffare uno scrittore tecnologico". Non sto dicendo che siamo infallibili, ma se la tua truffa riguarda Internet, un Windows ... Leggi di più o compra quello che stanno vendendo!
L'educazione è la migliore difesa, quindi essere sempre al corrente delle tecniche e delle notizie sulla sicurezza ti aiuterà a individuare un potenziale attacco. Risorse come Social-Engineer.org tentano di educare le persone alle tecniche utilizzate dagli ingegneri sociali e ci sono molte informazioni disponibili.
Alcune cose da ricordare
La fiducia è la tattica principale di un ingegnere sociale e verrà utilizzata per accedere a posizioni fisiche, informazioni riservate e, su una scala più ampia, dati aziendali sensibili. Un sistema è forte solo quanto la difesa più debole, e nel caso dell'ingegneria sociale ciò significa individui che non sono consapevoli delle minacce e delle tecniche utilizzate.
Conclusione
Per citare Kevin Mitnick che è riuscito a girovagare per la più grande conferenza sulla sicurezza del mondo, senza errori e senza controllo (RSA 2001): "Potresti spendere una fortuna acquistando tecnologia e servizi da ogni espositore, speaker e sponsor alla RSA Conference e dalla tua rete l'infrastruttura potrebbe rimanere vulnerabile alla manipolazione antiquata ". Questo è vero per le serrature delle tue porte e l'allarme di casa tua, quindi tieni d'occhio le tattiche di ingegneria sociale sul lavoro e a casa.
Hai mai avuto attacchi del genere? Lavori per un'azienda che ha appena iniziato a educare i dipendenti sui pericoli? Fateci sapere cosa ne pensate, nei commenti qui sotto.
Crediti immagine: Wolf in Sheep's Clothing (Shutterstock) Paper Shredder (Chris Scheufele), Hard Drive (jon_a_ross), Phone on Desk (Radio.Guy), Mozilla Reception (Niall Kennedy),