La protezione inizia dall’utente

phishingE’ vero che la sicurezza al 100% non esiste in alcun settore, ma gli utenti rappresentano sicuramente un punto debole per qualunque struttura. Oltre agli attacchi classici infatti, i singoli utenti possono essere soggetti anche ad attacchi di social engineering* e phishing*.

Si tratta di tecniche ormai sofisticatissime che facendo leva su alcune caratteristiche o predisposizioni psicologiche del destinatario lo convincono ad operare alcune azioni che portano l’attaccante a guadagnarsi l’accesso al sistema dell’utente.

Un esempio per tutte, ultimamente sono iniziate a comparire mail provenienti da un fantomatico capitano Prisco Mazzi. Questo tipo di mail punta sull’autorevolezza del mittente per intimorire il destinatario e indurlo ad aprire l’allegato.

Ogni giorno, i dipendenti commettono alcuni errori grossolani, ad esempio inviano le proprie password consentendo ad altri di visualizzarle, scaricano e aprono allegati di posta elettronica contenenti virus, utilizzano chiavette e lettori mp3 per portarsi a casa dati aziendali, aprono caselle personali di webmail oppure installano software P2P.

L’utilizzo delle chiavette ad esempio non rappresenta solo un rischio nel momento in cui il dipendente vi trasporta dati aziendali critici e poi la dimentica in palestra, ma può costituire una fonte di rischio anche nel caso in cui avvenga il contrario. Documenti e programmi privati dell’utente possono infatti essere salvati sulla chiavetta e quindi aperti o utilizzati sul computer aziendale.

Inserire una chiavetta Usb privata e utilizzarvi il contenuto altrettanto privato sul luogo di lavoro comporta una lunga serie di rischi per la sicurezza ed espone comunque il dipendente a sanzioni disciplinari, in quanto utilizza uno strumento aziendale per fini personali, per arginare il problema, le aziende dovrebbero stabilire rigide policy di utilizzo delle chiavette Usb.

I servizi di WebMail (posta elettronica online) e anche Instant Messaging (chat) vengono utilizzati per trasferire informazioni confidenziali fuori dall’azienda. Questi due strumenti, ancora più che nel caso delle chiavette Usb aprono pericolosissimi varchi all’interno del perimetro di difesa aziendale.

In questo caso, a differenza delle chiavette Usb (che in qualche modo possono comunque risultare utili per determinate attività aziendali) il sistema di protezione migliore risulta quello di disabilitare completamente questi servizi.

Infatti sia la WebMail che Istant Messanger e i programmi P2P possono essere completamente disabilitati applicando le corrette configurazioni ai sistemi aziendali.
Conclusioni
Tre semplici strumenti come le chiavette Usb, Istant Messanger e WebMail a disposizione di utenti non debitamente informati, possono vanificare l’intero sistema di sicurezza.
Spesso l’utilizzo improprio di questi strumenti non è effettuato dal dipendente con intenzioni dolose ma dovuta purtroppo alla mancata Formazione.

 

* Che cosa è il social engineering ?

L’attaccante utilizza tecniche di comunicazione e di persuasione per ottenere o compromettere informazioni, mostrandosi gentile e rispettabile, fingere di essere un nuovo impiegato, un manutentore, o ricercatore offrendo anche delle credenziali a supporto della sua identità.

* Che cosa è il phishing ?

Il Phishing è una tipologia di social engineering che attraverso e-mail o finti siti web attira l’utente e lo induce a fornire dati di accesso ad istituto di credito, finanziarie o simili ad esempio account e password inventando magari che servono alla soluzione di un problema.

Condividi l'articolo

Pubblicato da

Avatar

massimo

Analista e Programmatore, Elettronico, Esperto in Gestione Aziendale, Esperto Soluzioni Open Source. (I am a Consultant Analyst / Programmer specialized in Open Source technologies and an Expert in alternative energy and Home Automation). Author of: Phasis "Gestionale Open Source"; SeeCall "Sistema Gestione Call Center"; PiGamma "Sistema Gestione Sicurezza e Prevenzione RSPP"; Seebox “micro PC” project Electronics & PC, Building Automation Domotica (SimplyDOM), Salute & Benessere, Industrial Automation.