L'arma vincente: la consapevolezza
“Il fattore umano è l'anello più debole della sicurezza”
Kevin D. Mitnick, The Art of Deception: Controlling the Human Element of Security
La consapevolezza della presenza di un pericolo e delle possibili conseguenze che può comportare è il primo strumento per difendersi da esso.
La chiave vincente contro gli attacchi informatici, sempre più sofisticati e mirati, è "addestrare" i propri dipendenti, cosi che possano diventare la prima barriera di difesa contro varie tipologie di attacco.
Che cos'è la Cybersecurity Awareness?
La traduzione di "Security Awareness" rimanda al concetto di consapevolezza della sicurezza. Essa deve essere acquisita attraverso processi ben definiti e rivolti a tutto il personale aziendale (compresi i fornitori esterni), con particolare attenzione verso le figure apicali.
Al giorno d'oggi, impiegare solamente tecnologie di security, anche se estremamente avanzate, per difendersi dagli attacchi non è più sufficiente poiché esistono diverse tecniche per l'evasione di tali strumenti. A fare la differenza nella strategia di sicurezza sono il fattore umano e la conoscenza delle potenziali minacce.
Il Management: le vittime più vulnerabili
Se è vero che l'utente è l'anello più debole della catena è altrettanto vero che le figure di management di un'organizzazione sono quelle più vulnerabili. Questo perchè utilizzano un buon numero di dispositivi e tecnologie differenti ove memorizzano dati sensibili come: informazioni e strategie aziendali, documenti riservati, segreti industriali oltre alla posta elettronica e alle credenziali di accesso privilegiato, il che li rende un obiettivo primario per i criminali informatici.
La motivazione che spinge i criminali ad attaccare tali figure è il potere decisionale che ricoprono, che può essere a sua volta usato per effettuare attacchi interni all'azienda con maggiore impatto. Immaginiamo ad esempio il caso in cui il direttore dell'area commerciale mandi una mail alla propria segretaria in cui viene indicato di fare un bonifico di un'ingente somma di denaro verso le coordinate bancarie dell'attaccante. Visto il ruolo ricoperto dal mittente del messaggio, è improbabile che il recevente chieda ulteriori spiegazioni a riguardo, dunque è facile che l'attacco vada a buon fine.
Qualche esempio d'attacco
Vediamo ora alcuni esempi di attacchi sferrati dalle più grandi organizzazioni del crimine informatico che vedono coinvolte diverse tipologie di utenti in svariate realtà aziendali.
• Spear phishing
Questa tipologia di phishing ha la caratteristica di essere mirato verso un individuo o un’organizzazione specifica, spesso con contenuti personalizzati in base al destinatario.
Questa modalità di phishing richiede un’adeguata fase di analisi preliminare delle vittime per sviluppare un’email o un messaggio di phishing verosimile e perciò credibile.
• Whaling
Questa tipologia di attacco consiste nel prendere di mira una figura apicale dell'azienda, come il CEO. In questo caso i criminali impersonano un a figura di spicco all'interno dell'azienda per attaccare un'altro individuo appartenente al management. Viene quindi studiata la vittima, la posizione che ricopre ed i suoi comportamenti abituali e si sfruttano le informazioni ricavate per pianificare un attacco estremamente mirato.
Mentre le truffe di phishing si rivolgono a individui generici e lo spear-phishing a gruppi specifici di individui, il whaling estende ulteriormente questa seconda tipologia, non solo prendendo di mira questi individui chiave, ma anche facendo sì che le comunicazioni fraudolente inviate sembrino provenire da qualcuno di influente nella loro organizzazione.
• Phone phishing
Il phone phishing, detto anche voice phishing o “vishing“, consiste in telefonate in cui il phisher finge di essere un rappresentante di un istituto bancario, di un ente oppure semplicemente un fornitore, comunicando alla vittima la presenza di un problema urgente, insiste per ricevere i dati del conto bancario o per ottenere un pagamento, ad esempio di una sanzione. L'obiettivo è ovviamente quello di convincere la vittima a trasferire denaro.
In alternativa al vishing può essere utilizzato anche l’SMS phishing o “smishing”, in cui vengono utilizzati i messaggio di testo anzichè le chiamate.
• Clone phishing
In questo tipo di attacco, gli attaccanti copiano, o clonano, delle e-mail legittime che prevedono dei link o degli allegati e li sostituiscono con link dannosi che all'apparenza risultano identici a quelli originali.
• Deceptive phishing
Il deceptive phishing è il tipo di attacco più diffuso, consiste nell'invio massivo di messaggi di posta elettronica ad innumerevoli destinatari. Tipicamente, nei messaggi viene chiesto all'utente di accedere ad un link ed immettere i dati personali. In questo caso l'attacco risulta più facile da progettare in quanto non richiede uno studio dettagliato dell'obiettivo da attaccare. L'attaccante, infatti, punta sulla quantità delle mail mandate più che sul livello di dettaglio del messaggio per intercettare le potenziali vittime.
Tipologie di formazione
In base alla tipologia di azienda, alla struttura organizzativa ed al livello di consapevolezza iniziale del personale, il processo di awareness può svolgersi in modalità differenti.
Si potrebbe scegliere per esempio di adottare il classico metodo della formazione in aula con istruttori specializzati, adottare un metodo di e-learning personalizzato in base al livello di preparazione generale del personale oppure scegliere dei metodi più innovativi quali per esempio quelli della "gamification" .
Fonti e link di approfondimento: