I RISCHI DI SICUREZZA DELLE INFORMAZIONI CONNESSI AI COMPORTAMENTI UMANI - Regione Calabria
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
REGIONE CALABRIA
DIPARTIMENTO TRANSIZIONE DIGITALE ED RESPONSABILE DELLA PROTEZIONE
ATTIVITÀ STRATEGICHE DEI DATI
Settore "Infrastrutture Digitali e Sicurezza”
I RISCHI DI SICUREZZA DELLE INFORMAZIONI
CONNESSI AI COMPORTAMENTI UMANI
VADEMECUM INFORMATIVO
SOMMARIO
1 INTRODUZIONE......................................................................................................................... 3
2 MANIPOLAZIONE DEL COMPORTAMENTO E SOCIAL ENGINEERING ......................................... 4
2.1 Tipi di attacchi più comuni ...........................................................................................................................4
o Phishing
o Pretexting
o Quid pro quo
o Tailgating
o Baiting
o Garbage collecting
3 IL PHISHING – ESEMPI E CONSIGLI PRATICI PER RICONOSCERE LE EMAIL FRAUDOLENTE......... 6
3.1 Esempio 1: compromissione dell’account....................................................................................................7
3.2 Esempio 2: verifica movimenti bancari ........................................................................................................8
3.3 Esempio 3: messaggio da servizio clienti .....................................................................................................9
3.4 Indicazioni per riconoscere una e-mail di phishing ....................................................................................10
4 SCENARI DI RISCHIO E PRECAUZIONI DA ADOTTARE PER DIFENDERSI DAGLI ATTACCHI DI
SOCIAL ENGINEERING .................................................................................................................... 11
1. Connessi sempre e ovunque
2. Multi-tasking
3. Desiderio di visibilità
4. Più facile fidarsi in rete!
5. L’illusione dell’anonimato
6. Congratulazioni: hai vinto un premio!
7. Basta un clic per offrire un aiuto!
8. Una richiesta molto urgente ricevuta da un’autorità
9. Completamente rassicurati dalla presenza della tecnologia
10. Costantemente in preda all’ansia di dover aumentare la sicurezza
INDICE DELLE FIGURE
Figura 1 Statistiche su data breach e vulnerabilità comportamentali .......................................................... 3
Figura 2 Sequenza di attacco di social engineering ...................................................................................... 4
Figura 3 Esempio di e-mail di phishing – Compromissione dell'account ...................................................... 7
Figura 4 Esempio di e-mail di phishing – Verifica movimenti bancari .......................................................... 8
Figura 5 Esempio di e-mail di phishing – Messaggio da servizio clienti........................................................ 9
2
1 INTRODUZIONE
Gli sviluppi e le evoluzioni della tecnologia nell’ultimo ventennio hanno reso le comunicazioni tra persone
sempre più accessibili e istantanee, comportando però un incremento dei rischi legati a tali tipi di
comunicazioni: sempre più diffusi sono, infatti, i cosiddetti attacchi informatici di ingegneria sociale (in
inglese “social engineering”), che hanno come obiettivo quello di sfruttare la tendenza naturale delle
persone a fidarsi del proprio interlocutore. Tali attacchi possono avere diversi obiettivi, ed è importante
rendere le persone consapevoli della presenza di tali rischi soprattutto all’interno di un’organizzazione,
oltre che nella propria sfera privata.
Secondo diverse ricerche e studi, nello scenario odierno della sicurezza informatica le persone
rappresentano l’anello più debole della catena. Questo concetto è avvalorato dai dati relativi agli attacchi
informatici più recenti: secondo diversi studi, tra cui il Data Breach Investigation Report di Verizon del
2022, che analizza i dati relativi ai data breach, l’82% degli attacchi oggetto di analisi sono stati in qualche
modo collegati all’elemento umano e a vulnerabilità comportamentali.
Figura 1 Statistiche su data breach e vulnerabilità comportamentali
Questo documento ha come obiettivi:
Riassumere le principali tipologie di attacchi di social engineering;
Evidenziare le caratteristiche della tipologia di attacco più frequente, il phishing;
Dare delle indicazioni operative su come individuare, riconoscere e dunque evitare questi tipi di
attacchi.
Il presente documento va considerato come vademecum informativo e come guida ai comportamenti da
adottare rivolta a tutto il personale dell’Amministrazione che abbia accesso a dati personali nello
svolgimento delle proprie mansioni.
3
2 MANIPOLAZIONE DEL COMPORTAMENTO E SOCIAL ENGINEERING
L’arte di manipolare il comportamento umano a scopo criminale è chiamata ingegneria sociale (social
engineering) e si applica generalmente in quattro fasi.
Figura 2 Sequenza di attacco di social engineering
L’ingegneria sociale si avvale di tecniche psicologiche che sfruttano stati d’animo, esigenze e modalità
comportamentali tipiche degli individui. La consapevolezza degli scenari di utilizzo di tali tecniche può
aiutare a non esporsi ad eventuali attacchi di ingegneria sociale o comunque a riconoscerli
tempestivamente e a non diventarne vittima.
2.1 Tipi di attacchi più comuni
• PHISHING (“andare a pesca” di possibili vittime)
• Predisporre messaggi automatici per andare a pesca di informazioni riservate o di utenti
distratti verso cui distribuire malware (es. ransomware);
• Il principale canale di comunicazione attraverso cui si svolgono tali attacchi sono le e-mail,
che all’apparenza sembrano legittime ed autentiche, originate da una fonte credibile, ma
in realtà sono fraudolente e nascondono intenti malevoli, come ad esempio acquisire
credenziali di accesso a svariati servizi, o distribuire malware, come ad esempio spyware
o ransomware.
• Attacchi di phishing si possono avere anche attraverso altri canali, e prendono il nome di
smishing quando sono veicolati tramite SMS, e di vishing quando avvengono con l’utilizzo
di chiamate automatiche registrate che fingono di provenire da fonti legittime (come
banche o altri istituti finanziari) e chiedono alle vittime di “verificare” determinate
informazioni confidenziali.
• PRETEXTING (creare un pretesto credibile)
• Gestire opportune sequenze di messaggi e chiamate telefoniche per sviluppare una
relazione di fiducia con la vittima, approfondendone al contempo il contesto
organizzativo, al fine di costruire facili pretesti per avere informazioni riservate o
erogazioni di servizi interni;
4
• L’attacco si sviluppa, tipicamente, secondo questa sequenza di azioni:
• L’attaccante si finge un’autorità fidata e costruisce uno scenario per poter
contattare la vittima;
• La vittima crede allo scenario e condivide le informazioni richieste con le
“autorità” che le richiedono;
• L’attaccante utilizza le informazioni ottenute per scopi malevoli.
• QUID PRO QUO (promettere qualcosa in cambio di info)
• Proporre, spesso telefonicamente, false offerte di servizi (es. servizi di support tecnico) in
cambio di informazioni riservate (es. credenziali di accesso);
• L’attacco si sviluppa, tipicamente, secondo questa sequenza di azioni:
• L’attaccante finge di essere rappresentante di un servizio di supporto tecnico e
chiama al telefono i dipendenti di una organizzazione, finché non trovano
qualcuno che ha effettivamente un problema tecnico;
• Una volta individuate le vittime, l’attaccante dà loro istruzioni malevoli, facendo
installare malware, raccogliendo informazioni e riuscendo a infiltrarsi all’interno
della rete.
• TAILGATING (affiancare qualcuno per guadagnare l’accesso)
• Dichiarare un’identità e un ruolo falsi (es. utilizzando tesserini di riconoscimento falsi) per
ottenere l’accesso fisico ad aree riservate o a postazioni di lavoro, seguendo
semplicemente la vittima selezionata.
• BAITING (collocare un’esca informatica)
• Predisporre un dispositivo informatico con malware (es. pendrive) da abbandonare nei
pressi della postazione di lavoro che si vuole attaccare.
• GARBAGE COLLECTING (rovistare nella spazzatura)
• Cercare tra i rifiuti eventuali informazioni non adeguatamente distrutte sia su documenti
cartacei sia su supporti informatici dismessi.
Secondo il recente Rapporto CLUSIT di marzo 2022 è emergente un trend di campagne di phishing sempre
più sofisticate, mirate e personalizzate rispetto al target di riferimento, con messaggi costruiti in modo
curato e dettagliato. Sebbene le dimensioni del fenomeno siano ridotte rispetto alle tradizionali campagne
di phishing massivo, tali attacchi mirati hanno efficacia di ordini di grandezza superiore rispetto a questi
ultimi.
5
3 IL PHISHING – ESEMPI E CONSIGLI PRATICI PER RICONOSCERE LE
EMAIL FRAUDOLENTE
Secondo le più recenti indagini, la tecnica del phishing è la più diffusa e costituisce circa il 70% dei tentativi
di attacchi di social engineering. Per questo motivo è particolarmente importante imparare a riconoscere
i modelli più frequentemente utilizzati dagli attaccanti, in modo da non caderne vittima.
Secondo il glossario CERT-AgID: «il phishing è una frode informatica, realizzata attraverso l’invio di e-mail
contraffatte, finalizzata all’acquisizione, per scopi illegali, di dati riservati oppure a far compiere alla
vittima determinate operazioni/azioni. I malintenzionati che si avvalgono delle tecniche di phishing non
utilizzano virus, spyware, malware o altre tipologie di software malevolo, ma si limitano, piuttosto, ad
usare tecniche di social engineering, attraverso le quali vengono studiate ed analizzate le abitudini delle
persone, cioè delle potenziali vittime, al fine di carpirne potenziali informazioni utili. Il phishing è quindi un
tipico attacco di social engineering che sfrutta l’interazione umana e in cui è richiesta la partecipazione
attiva della vittima».
L’interesse maggiore da parte degli attaccanti è rivolto alle credenziali di accesso a servizi online,
attraverso cui compiere crimini di ogni tipo. Per comprendere le dimensioni del fenomeno, si pensi che
ad oggi sono state diffuse le credenziali di oltre 24 miliardi di account nel mondo, che costituiscono il
fulcro di un vivace mercato in cui queste vengono acquistate e vendute tra criminali.
Esempi comuni di e-mail di phishing sono i seguenti:
• E-mail in cui si comunica la disattivazione di un account a causa di una compromissione, per cui
occorre effettuare l’accesso tramite il link fornito all’interno dell’e-mail. Tramite il sito fornito, che
all’apparenza somiglia molto al sito autentico, gli attaccanti raccolgono informazioni di accesso e
dati per raggiungere i loro scopi;
• E-mail in cui si comunica la presenza di movimenti bancari sospetti e si richiede di confermare i
dati della propria carta di credito, in modo da proteggere il proprio account;
• E-mail di supporto tecnico in generale, in cui si comunicano accessi inusuali ai propri account da
località all’estero e si invita a effettuare un accesso per confermare la propria identità.
Altri esempi di messaggi di phishing potrebbero riguardare:
• la scadenza di una determinata password di un servizio on-line;
• l’accettazione dei cambiamenti delle condizioni contrattuali;
• il potenziale rinnovo della carta prepagata o della carta di credito;
• dei potenziali problemi inerenti accrediti, addebiti o trasferimenti di denaro su determinati conti
online;
• la mancata, incompleta o errata presenza di informazioni, che magari riguardano determinati
servizi bancari on-line;
6
• la presenza di offerte di lavoro particolarmente allettanti, che magari invitano ad inserire le
coordinate bancarie per far sì di esser tra i primi a beneficiarne;
Una volta quindi catturata l’attenzione dell’ignaro utente, il messaggio fraudolento, contenente un
apposito allegato o un semplice collegamento ipertestuale, permetterà di effettuare l’accesso al sito
Internet in questione. Il sito “fake” assomiglierà il più possibile a quello “ufficiale”, con la speranza che il
malcapitato utente inserisca username, password e/o altre potenziali informazioni utili.
Se a questo punto l’utente di turno “abbocca all’amo”, il phisher, potrà disporre e utilizzare a suo
piacimento i dati ottenuti con tutte le spiacevoli conseguenze del caso.
Di seguito si presentano alcuni esempi di e-mail di phishing con le caratteristiche sospette da notare, utili
per individuarle. Queste indicazioni saranno riassunte alla fine con una sequenza di regole utili per
riconoscere una e-mail fraudolenta.
3.1 Esempio 1: compromissione dell’account
Figura 3 Esempio di e-mail di phishing – Compromissione dell'account
In questo esempio sono presenti diversi indizi in grado di far dubitare dell’autenticità della e-mail:
Il mittente sembra non legittimo, è molto dettagliato;
L’oggetto contiene una call to action chiara e che sottolinea il senso di urgenza della richiesta;
Il destinatario, anziché riportare il nome e cognome specifico, è un generico “utente”;
7
Si richiede di effettuare un’azione tramite il link specificato all’interno della e-mail, che
probabilmente presenterà un URL diverso dal sito ufficiale di riferimento (in questo caso, di
Outlook);
Disseminati nella e-mail, sono presenti diversi errori di ortografia e di grammatica.
In questo caso, il layout della e-mail e, in generale, il modo in cui è scritta danno diversi indizi sulla sua
natura fraudolenta.
3.2 Esempio 2: verifica movimenti bancari
Figura 4 Esempio di e-mail di phishing – Verifica movimenti bancari
Il mittente è palesemente non ufficiale;
Il destinatario, anziché riportare il nome e cognome specifico, è un generico “utente”;
Si richiede di effettuare un’azione tramite il link specificato all’interno della e-mail, che
probabilmente presenterà un URL diverso dal sito ufficiale di riferimento (in questo caso, di
PayPal).
Il messaggio in questo caso ricalca in maniera esatta il layout di una e-mail ufficiale di PayPal; tuttavia,
sono comunque presenti degli indizi in grado di suggerirci che si tratti di una e-mail di phishing.
8
3.3 Esempio 3: messaggio da servizio clienti
Figura 5 Esempio di e-mail di phishing – Messaggio da servizio clienti
Il mittente è sospetto, anche se ricorda molto quello utilizzato per le comunicazioni
autentiche;
Il destinatario, anziché riportare il nome e cognome specifico dell’utente, riporta l’indirizzo e-
mail del destinatario;
È presente un’informazione dettagliata riguardo alla utenza a cui si riferisce l’e-mail. Questa
potrebbe essere una informazione corretta oppure no, ma non implica che la comunicazione
sia ufficiale
Si richiede di effettuare un’azione tramite il link specificato all’interno della e-mail, che
probabilmente presenterà un URL diverso dal sito ufficiale di riferimento (in questo caso, del
gestore telefonico di riferimento), ed è presente un errore grammaticale.
Anche in questo caso il layout e il testo (a parte un piccolo errore) non danno indizi particolari, occorrerà
verificare le informazioni e l’URL indicato nel link della e-mail.
9
3.4 Indicazioni per riconoscere una e-mail di phishing
Sebbene i moderni filtri antispam siano in grado di riconoscere e filtrare la maggior parte dei tentativi di
attacco, è ancora possibile ricevere e-mail di questo tipo che non siano state filtrate: per questo motivo,
occorre saper riconoscere questi tentativi e non fidarsi ciecamente della tecnologia.
La regola principale per difendersi è solo una: nessuno può tutelare le nostre informazioni meglio di noi
stessi. Per questo è necessario gestire i propri dati con cura e diffonderli il meno possibile.
Alla luce degli esempi presentati in precedenza, è possibile riassumere in alcune semplici indicazioni i
principali aspetti da osservare in una e-mail ricevuta per determinarne l’effettiva autenticità:
Verificare l’autenticità dell’indirizzo e-mail del mittente; diffidare da indirizzi troppo
dettagliati o con acronimi vaghi;
Notare l’eventuale presenza di altri destinatari nella e-mail;
Nel testo della e-mail si fa riferimento a un generico “Utente” senza specificarne il nome e il
cognome;
Osservare il design complessivo della e-mail;
Diffidare da allegati in generale presenti nella e-mail e non scaricarli, soprattutto nel caso di
formati .exe o altri formati eseguibili;
Non farsi influenzare dal senso di urgenza che il messaggio vuole comunicare:
La presenza di errori di digitazione, di ortografia o di grammatica può essere un’indicazione
del fatto che siamo di fronte a una comunicazione non autentica;
Prima di cliccare su qualsiasi link, verificare che l’URL che compare sia legittimo, e nel caso di
dubbi non cliccare;
Così come per le notizie, verificare la veridicità delle informazioni nelle e-mail può richiedere
pochi secondi: ad esempio, se si riceve una comunicazione dal sistema di online banking,
verificare direttamente sul sito se sono presenti i problemi descritti nella e-mail.
In generale, una ricerca online può aiutare a capire se si tratta di una e-mail di phishing oppure
no: basterà cercare alcune parole del messaggio oppure l’indirizzo e-mail del mittente per
capire se si tratta di un tentativo noto di attacco.
Un modo semplice per verificare la legittimità di un URL è utilizzare un servizio online di
antivirus, come virustotal.com.
Visto l’emergere di campagne di phishing sempre più sofisticate e mirate, in cui – ad esempio
– vi è una componente elevata di personalizzazione e dettaglio rispetto alle informazioni già
note della vittima, si raccomanda di prestare sempre attenzione nel cliccare su link e nello
scaricare allegati.
104 SCENARI DI RISCHIO E PRECAUZIONI DA ADOTTARE PER
DIFENDERSI DAGLI ATTACCHI DI SOCIAL ENGINEERING
Gli attacchi di social engineering sfruttano vulnerabilità umane comuni nel mondo in cui viviamo. È
importante riconoscere i comportamenti che espongono di più le persone e le rendono maggiormente
vulnerabili, e adottare precauzioni adeguate al fine di non cadere vittima di inganni.
1. CONNESSI SEMPRE E OVUNQUE
La facilità di accesso, con ogni dispositivo e da ogni
luogo, alle risorse del cyberspazio ci espone anche
a diversi rischi legati alla grande mole di
informazioni da cui siamo investiti. Le pagine web
sono infatti spesso talmente ricche di «contenuti
extra», che attirano la nostra curiosità e
sollecitano i nostri clic, presentandosi come
contenuti assolutamente innocui.
Prestare sempre attenzione prima di fare clic su
contenuti potenzialmente rischiosi (che rimandano
in genere a pagine esterne) durante la navigazione
Internet: banner pubblicitari, notizie acchiappa-
clic, immagini, filmati e link in generale che
attirano particolarmente la nostra attenzione.
2. MULTI-TASKING
Eseguendo più operazioni contemporaneamente
si rischia di non riuscire più ad avere il pieno
controllo delle singole attività che si stanno
portando avanti, condividendo molte più
informazioni del necessario.
È bene evitare distrazioni quando si svolge
un’attività che tratta informazioni con importanti
livelli di sicurezza.
113. DESIDERIO DI VISIBILITÀ
L’eccessiva visibilità in rete (overexposure) espone
l’individuo a rischi molto alti di divulgazione
involontaria \di informazioni riservate che
potrebbero essere sfruttate impropriamente da
criminali informatici.
Tenere sempre alto il livello di attenzione,
soprattutto rispetto alla possibile comunicazione
di informazioni personali e professionali.
4. PIÙ FACILE FIDARSI IN RETE!
In rete si riscontra in generale una maggiore
propensione a dare fiducia al proprio
interlocutore. Molti criminali informatici
potrebbero sfruttare questa condizione per
instaurare facili relazioni con le proprie vittime e
ottenere da queste informazioni riservate da
utilizzare per scopi fraudolenti.
È importante essere molto cauti nelle relazioni
sociali che si instaurano in rete.
5. L’ILLUSIONE DELL’ANONIMATO
L’utilizzo di un nickname in rete non dà garanzie di
anonimato e quindi di assenza di responsabilità sui
contenuti condivisi.
Pur agendo in «modalità anonima» bisogna
prestare sempre molta attenzione ai contenuti
personali e professionali eventualmente diffusi.
126. CONGRATULAZIONI: HAI VINTO UN PREMIO!
Ricevere la notizia di un premio fa sempre piacere!
Ma quando dalla comunicazione traspare anche
una certa ansia nel doverlo consegnare, mettendo
a disposizione semplici link con cui avviare la
procedura di consegna e raccogliere dati personali
(es. coordinate bancarie, datore di lavoro,
mansione, ecc.), con buona probabilità sarà una
truffa.
Diffidare in generale di messaggi su premi,
ricompense o offerte particolarmente
vantaggiose. Verificare accuratamente la fonte se
si è intenzionati a procedere.
7. BASTA UN CLICK PER OFFRIRE UN AIUTO!
Per la semplicità con cui è possibile effettuare una
donazione online e la diffusa percezione di un
maggior controllo degli obiettivi da perseguire, le
persone dimostrano in generale una maggiore
propensione ad essere solidali quando navigano in
rete.
È importante in ogni caso verificare sempre
l’autenticità delle campagne di beneficenza,
poiché potrebbero essere solo uno strumento per
consentire a criminali di raccogliere informazioni
personali (sottoponendo form da compilare).
8. UNA RICHIESTA MOLTO URGENTE RICEVUTA
DA UN’AUTORITÀ
Una richiesta ricevuta da un’autorità è sempre
presa in considerazione con una certa attenzione
e priorità in funzione del livello dell’autorità
richiedente e dell’urgenza manifestata.
È importante verificare l’autenticità del contatto
prima di fornire qualsiasi informazione o di
eseguire le azioni richieste.
139. COMPLETAMENTE RASSICURATI DALLA
PRESENZA DELLA TECNOLOGIA
La tecnologia da sola non è sufficiente a mitigare i
rischi, ma deve necessariamente essere
coadiuvata da comportamenti adeguati, da parte
di tutto il personale interno ed esterno, nello
svolgimento delle attività di trattamento delle
informazioni e nell’utilizzo delle misure di
sicurezza preposte.
Seguire correttamente le politiche e le
raccomandazioni di sicurezza previste da Regione
Calabria e più in generale dalla specifica normativa
definita per la pubblica amministrazione.
10. COSTANTEMENTE IN PREDA ALL’ANSIA DI
DOVER AUMENTARE LA SICUREZZA
L’eccessiva paura di subire possibili attacchi di
sicurezza può spingere le persone a ricorrere
arbitrariamente ad ulteriori ed eccessive misure
che si rivelano poi spesso strumenti diffusi ad arte
dagli stessi criminali informatici.
Non introdurre (senza autorizzazione) nessuna
nuova misura di sicurezza, ma perseguire il miglior
utilizzo possibile di quelle messe in campo
dall’ente.
14Puoi anche leggere
