Ecco perché contro il “social engineering”, non c’è scampo!

Il grande Kevin Mitnick disse “There is no patch for human stupidity” e oggi ne parleremo con dei fatti conosciuti accaduti nei comparti che dovrebbero essere più all’avanguardia sulla sicurezza informatica.

Le misure tecniche di sicurezza non riducono tutti i rischi di attacco informatico attraverso metodi di Social Engineering, in quanto non esiste un dispositivo che possa far comportare le persone in un modo consono.

Due anni prima del Datagate, il Dipartimento della sicurezza interna degli Stati Uniti (DHS) ha effettuato un test sul suo personale e riportò che molti addetti ai lavori si sono comportati in modo non adeguato.

Infatti, la sicurezza interna ha sparso diversi CD nel parcheggio vicino al palazzo del governo. Alcuni di loro non erano contrassegnati, mentre altri portavano il logo del DHS.

Seduti dietro i monitor delle telecamere di sorveglianza, gli agenti hanno iniziato a osservare il comportamento delle persone.

Il 60% dei dischi senza etichetta è stato prelevato e inserito nelle unità dei PC di lavoro dei dipendenti dei vari reparti.

Mentre invece il gruppo dei dischi con il logo del ministero, è stato inserito nei PC per il 90% dei casi. Psicologicamente e probabilmente, tutti pensavano di aver trovato una perdita di informazioni preziosa e volevano sentirsi all’interno di una spy story.

Una storia simile è successa nella primavera del 2018 con il Ministero della Difesa israeliano.

Le reti di computer collegate all’IDF sono state infettate per la prima volta dal primitivo worm ILOVEYOU nel 2000.

Per aggirare gli antivirus, gli autori hanno utilizzato il metodo dell’offuscamento, ma l’obiettivo principale era il metodo di distribuzione manuale.

Sono state inviate e-mail a tutti gli indirizzi pubblici del Ministero della Difesa israeliano e delle sue controparti con l’oggetto “Ragazze delle forze di difesa israeliane” e variazioni di significato simile.

I dipendenti curiosi hanno eseguito l’allegato nonostante gli avvisi dei sistemi di sicurezza integrati su un allegato sospetto.

Questa è quella che si chiama “stupidità umana”, e non esistono firewall, end point protection, intelligenze artificiali (almeno per oggi), che possono arginare un errato comportamento umano, se non una corretta educazione al digitale e la consapevolezza al rischio.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.