Prof. Enrico Denti Ing. Ambra Molesini DEIS

Documenti analoghi
SICUREZZA INFORMATICA MINACCE

INGEGNERIA SOCIALE OUTLINE DEFINIZIONI PERCHE INGEGNERIA SOCIALE? INGEGNERE SOCIALE STORIA

Polizia di Stato Compartimento Polizia Postale e delle Comunicazioni Veneto

Identità e autenticazione

Proteggiamo il PC con il Firewall di Windows Vista

INGEGNERIA SOCIALE OUTLINE HACKER DIVERSI ATTORI CREDENZE: LA GUERRA INFORMATICA CRACKER

I SÌ e i NO della sicurezza informatica

L avvocato hacker. Genova, 15 marzo Prof. Giovanni Ziccardi Università degli Studi di Milano

Da dove nasce l idea dei video

Guida alla configurazione della posta elettronica dell Ateneo di Ferrara sui più comuni programmi di posta

UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI

CORSO DI INFORMATICA PER ADULTI

Università per Stranieri di Siena Livello A1

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

Proteggi gli account personali

Tipologie e metodi di attacco

Express Import system

Allegato 1. Le tecniche di frode on-line

INVIO SMS

Manuale d'uso del Connection Manager

Le basi della Partita Doppia in parole Facile e comprensibile. Ovviamente gratis.

Modulo 12 Sicurezza informatica

Sicurezza e Rischi. Mi è arrivata una mail con oggetto: ATTENZIONE!!! chiusura sistematica del tuo conto VIRGILIO. Come proteggersi dallo Spam

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Informatica per la comunicazione" - lezione 13 -

IDENTITÀ E FRODI IN INTERNET PHISHING, PHARMING E I MODI PER DIFENDERSI. R.Remoli

BNL People. Netiquette

MOCA. Modulo Candidatura. [Manuale versione 1.0 marzo 2013]

ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE

INFORMATION TECNOLOGY. a cura di Alessandro Padovani padoale@libero.it

File, Modifica, Visualizza, Strumenti, Messaggio

MINIGUIDA PER RISORSE SU CLASH OF CLANS

Istruzioni operative per gli Incaricati del trattamento dei dati personali

COME AVERE SUCCESSO SUL WEB?

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Il concetto di Dare/Avere

Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica.

Guida al sistema. Dott. Enea Belloni

Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it

- Corso di computer -

5. Fondamenti di navigazione e ricerca di informazioni sul Web

CONSIGLI PER GIOVANI NAVIGANTI (anche già navigati).

1. Il Client Skype for Business

Via Mazzini, Candia Canavese (TO)

Traduzione e adattamento a cura di Gylas per Giochi Rari

Marketing non è solo social media

Guida all attivazione ipase

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

EW1051 Lettore di schede USB

1. Devo essere connesso ad Internet per utilizzare il Servizio di tuotempo?

Stella - Tagliamento Palazzolo dello Stella OCJU

Banca dati Professioniste in rete per le P.A. Guida all uso per le Professioniste

MIGRAZIONE SERVER DI POSTA ELETTRONICA

Pochi e semplici consigli per essere e sentirsi più sicuri

COME FARE UNA RICHIESTA DI ASSISTENZA ON LINE (AOL)

Il seguente Syllabus è relativo al Modulo 7, Reti informatiche, e fornisce i fondamenti per il test di tipo pratico relativo a questo modulo

Presentazione della pratica online

IdentitàDigitali. Bologna 28 maggio Brand e Personal Branding nell era digitale. Roberto Marsicano

Il funzionamento di prezzipazzi, registrazione e meccanismi

Università per Stranieri di Siena Livello A1

Client - Server. Client Web: il BROWSER

Università per Stranieri di Siena Livello A1

info@shift.it

NOTE OPERATIVE. Prodotto Inaz Download Manager. Release 1.3.0

SERVIZIO DICHIARAZIONE DI SUCCESSIONE ON LINE (SERVIZIO ATTIVO IN TUTTA ITALIA)

Al telefono: Come ottenere informazioni.senza chiederle!

CTVClient. Dopo aver inserito correttamente i dati, verrà visualizzata la schermata del tabellone con i giorni e le ore.

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

EDUCAZIONE ALLA LEGALITÀ a.s. 2013/2014

La dura realtà del guadagno online.

Il sistema monetario

1. LE REGOLE EDUCAZIONE ALLA LEGALITA OBIETTIVI

1) GESTIONE DELLE POSTAZIONI REMOTE

Software per Helpdesk

Situazione Attuale. Le persone svolgono molte operazioni ripetitive ed occupano il proprio computer per le elaborazioni..

POLIZIA DI STATO SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI FRODI ATTRAVERSO DIALER

Registratori di Cassa

GESGOLF SMS ONLINE. Manuale per l utente

GUIDA ALL USO 4 STAR PRESENTA LA RUBRICA VOCALE UN SOLO NUMERO PER CHIAMARE CHI VUOI.

Agenzia Regionale di Protezione Civile &!!

MANUALE UTENTE INFOCAR REPAIR ACCESSO SMARTPHONE/TABLET

NUOVI APPROCCI PER UN MANAGER ALLENATORE : IL PROCESSO DI COACHING

Manuale Utente. Gestione Richieste supporto BDAP. Versione 1.0

PLIDA Progetto Lingua Italiana Dante Alighieri Certificazione di competenza in lingua italiana

Colloquio di vendita GRUPPO TELECOM ITALIA. La gioia di vendere

Assistenza On Line - Guida breve

Guida Compilazione Piani di Studio on-line

Configurare Outlook Express

CORSO VENDITE LIVELLO BASE ESERCIZIO PER L ACQUISIZIONE DEI DATI

Note Operative per Accedere alla Posta Elettronica Certificata (PEC) Obbligo Iscrizioni 2011

Progetto PI , passo A.1 versione del 14 febbraio 2007

Diventa Personal Fundraiser di UNA Onlus con

Promozione 100 in buoni

NUOVA PROCEDURA COPIA ED INCOLLA PER L INSERIMENTO DELLE CLASSIFICHE NEL SISTEMA INFORMATICO KSPORT.

Utilizzo delle nuove tecnologie Versione internazionale

Violazione dei dati aziendali

LE CERTIFICAZIONI ECDL 12 GIUGNO Lucchetti Silvia

MANUALE D'USO DEL PROGRAMMA IMMOBIPHONE

Università per Stranieri di Siena Livello A1

PEC: QUESTA SCONOSCIUTA La Posta Elettronica Certificata (PEC) è uno strumento che permette di dare ad un messaggio di posta elettronica lo stesso

Transcript:

Università degli Studi di Bologna IIª Facoltà di Ingegneria - Cesena INGEGNERIA SOCIALE Prof. Enrico Denti Ing. Ambra Molesini DEIS

INGEGNERIA SOCIALE: DEFINIZIONI Definizione 1: Una manipolazione della naturale tendenza alla fiducia dell essere umano, architettata e realizzata dall ingegnere sociale con l obiettivo ottenere informazioni che permettano libero accesso e informazioni di valore del sistema Definizione 2: Arte che consente di distrarre, manipolare, ingannare, influenzare, nei pensieri e nel comportamento, la propria vittima al fine di raggiungere l obiettivo prefisso Definizione 3: Tentativo di intrusione non tecnico (con o senza l ausilio di strumenti tecnologici) che consiste nell influenzare una persona con l obiettivo finale di farle rilevare informazioni confidenziali farla agire in maniera tale da consentire accesso o uso non autorizzato di sistemi, reti o informazioni

INGEGNERIA SOCIALE Si possono investire milioni di dollari per i propri software, per l hardware delle proprie macchine e per dispositivi di sicurezza all'avanguardia, ma se c' è anche solo un unico dipendente della nostra azienda che può essere manipolato con un attacco di ingegneria sociale, tutti i soldi investiti saranno stati inutili Kevin Mitnick

PERCHÉ INGEGNERIA SOCIALE? Sociale perché coinvolge e studia il comportamento umano Ingegneria perché bisogna ingegnerizzare la situazione per raggiungere i propri obiettivi richiede pianificazione Come nell hacking, la maggior parte del lavoro è nella preparazione, piuttosto che nel tentativo stesso L ingegnere sociale programma l attacco come se fosse una partita a scacchi, anticipando le domande che il bersaglio può porgli in modo da avere sempre la risposta pronta

INGEGNERE SOCIALE Stabilisce un identità ed un suo ruolo Sviluppa una scusa plausibile per ottenere un immediata confidenza Stabilisce un obiettivo minimo di risultato tramite le conoscenze acquisite o le sue deduzioni Costruisce il suo rapporto tramite simpatia o altre tattiche per influenzare la vittima Sviluppa possibili risposte per poter superare qualsiasi obiezione Prevede una possibile via d uscita per non bruciare l origine del suo contatto

FOOTPRINTING (1) L ingegnere sociale prima di compiere il gesto criminoso vero e proprio comincia con il raccogliere informazioni sul sistema da colpire Questa fase, chiamata tecnicamente footprinting, può durare parecchi mesi Durante questo tempo l ingegnere sociale studia e impara: i sistemi di comunicazione aziendale come funziona la posta interna l organigramma aziendale giorni e orari di pulizia (segue)

FOOTPRINTING (2) [Durante questo tempo l ingegnere sociale studia e impara:] frequenta gli uffici aziendali, magari consegna buste, caffé, acqua conosce e dialoga con gli addetti alla sicurezza, segretarie, webmaster, sistemisti manda e-mail, telefona, si informa finge di essere un utente inesperto che ha smarrito una password manda un offerta di un nuovo firewall per aumentare il sistema di sicurezza

UN PO' DI STORIA I primi utilizzatori dell Ingegneria sociale furono i phreaker per riuscire a carpire informazioni vitali dalle compagnie telefoniche Phreaking forma di pirateria che permette di utilizzare la rete telefonica sfruttando i sistemi e i dipendenti dell azienda erogatrice del servizio la sicurezza non è un prodotto acquistabile ma un processo evolutivo che coinvolge l organizzazione nella sua interezza [Bruce Schneier] MA troppo spesso la sicurezza è solo un illusione

QUANDO LA SICUREZZA E UN ILLUSIONE Esiste un codice di sicurezza (mal usato) che però se utilizzato in modo improprio può essere peggio di non avere niente, perché regala l illusione di una sicurezza che in realtà non esiste Non ci si accorge dell attacco Problema: se si rubano soldi o beni qualcuno, si accorge che sono spariti MA quando si rubano informazioni quasi sempre nessuno lo nota, perché le informazioni restano comunque in possesso di chi le possedeva

LE INFORMAZIONI Le informazioni memorizzate nei computer sono gestite da operatori umani che molto spesso ignorano le procedure di sicurezza la priorità di chiunque è completare il lavoro in tempo le persone non sono consapevoli fino in fondo del reale valore delle informazioni che circolano in una struttura La sicurezza non è un problema di tecnologia, bensì di persone e gestione: l anello debole di questo processo Questa debolezza del processo di sicurezza è universale, indipendente dalla piattaforma, dal software, dalla rete o dall età dell attrezzatura

ESEMPIO: AEROPORTO La sicurezza è diventata onnipresente..eppure si rimane sconcertati dai servizi televisivi che mostrano viaggiatori che sono riusciti a superare i controlli con armi potenziali: com'è possibile? I metal detector non funzionano? No, il problema non sono le macchine Il problema è il fattore umano, le persone che gestiscono le macchine

PERCHÉ FUNZIONA? L'ingegneria sociale spesso funziona perché è più facile di un metodo di hacking non richiede specialisti ICT ha un costo molto basso comporta basso rischio funziona con qualsiasi sistema operativo non richiede collegamento in rete lascia poche tracce è efficace circa al 100% (purtroppo ) Non diventa obsoleta con il passare del tempo È poco conosciuto dalle vittime

UN ULTERIORE MOTIVO Gli attacchi degli ingegneri sociali possono avere successo perché tipicamente le persone sono ignare delle buone pratiche di sicurezza Come diceva Albert Einstein soltanto due cose sono infinite, l universo e la stupidità umana, e non sono tanto sicuro della prima

VITTIME PREFERITE per un attacco di ingegneria sociale Persone che non hanno niente da perdere nel fornire una informazione sensibile tendono a sottostimare il pieno valore delle informazioni hanno la percezione che seguire le basilari regole per la sicurezza delle informazioni sia un inutile perdita di tempo non valutano appieno le conseguenze delle loro azioni sanno di non subire sanzioni disciplinari rivelando informazioni sensibili

FASI DELL ATTACCO Fase Fisica raccolta di informazioni attraverso persone (shoulder surfing) documenti (supporti digitali distrutti, stampe di dati sensibili) luoghi (dumpster diving) Fase Psicologica impersonificazione carpire le informazioni utili attraverso la persuasione

Fase Fisica

STRUMENTI ESSENZIALI Buona memoria per raccogliere le informazioni Telefoni (fisso, cellulare, pubblico) Fax Scanner Stampanti Server di posta Cooperazione Argomenti e ragioni per giustificare l azione più la persona target è vicina alle informazioni di cui abbiamo bisogno e più forti devono essere le argomentazioni

OBIETTIVI E METODI DEGLI ATTACCHI Obiettivi: password fisici: modem, server help desk Metodi di attacco si distinguono in attacchi che coinvolgono l interazione con altre persone o azioni svolte senza l ausilio di metodi tecnologici perpetuati utilizzando la tecnologia La giusta combinazione di entrambi permette all ingegnere sociale di raggiungere i propri obiettivi

ATTACCHI MEDIANTE INTERAZIONE UMANA Richiesta diretta delle informazioni Truffe telefoniche (telephone scams) Rovistare nella carta straccia (dumpster diving) Rovistare negli hard disk dismessi Richiesta informazioni per un falso sondaggio Sbirciare alle spalle (shoulder surfing)

DUMPSTER DIVING Termine che descrive il setacciamento dell immondizia del bersaglio in cerca di informazioni di valore Nonostante il mito dell ufficio senza carta, si continuano a stampare valanghe di fogli ogni giorno Non solo gli uffici bollette del telefono resoconti della carta di credito flaconi di medicinali saldi della banca scontrini del bancomat

ATTACCHI TECNOLOGICI (1) Attacchi diretti al sistema creazione di un nuovo account aggiungere privilegi o diritti di accesso a un account esistente Esecuzione di un programma "malintenzionato" (trojan) Attivazione di un piano di phishing Intercettazione (cellulari) Invio di mail contenenti virus e worm Malware: trojan, spyware, dialer, rootkit Microfono, webcam, tastiere

KEYGHOST Una società neozelandese ha creato un dispositivo chiamato KeyGhost che cattura qualsiasi cosa venga digitata sulla tastiera Supporta la cifratura dei dati memorizzati Quello di base che contiene dati non cifrati può durare 10 giorni (fino circa 97000 tasti premuti) prima che la sua capacità venga riempita

Finestre di Popup ATTACCHI TECNOLOGICI (2) la finestra appare sullo schermo indicando all utente che la connessione alla rete è stata interrotta e che è necessario reinserire username e password un programma poi invierà via email le informazioni all ingegnere sociale Spam, Catene di S.Antonio sfruttano l ingegneria sociale per diffondersi non causano danni se non la riduzione della produttività Siti web uno strattagemma comune è offrire qualcosa gratis oppure la possibilità di vincere una lotteria

ESEMPIO: NIGERIAM SCAM Deve il nome alla provenienza delle prime mail di questo tipo Cosa sono: e-mail in cui si parla di grosse somme di denaro che dovrebbero essere trasferite o recuperate da una banca estera, che però chiede garanzie come la cittadinanza, un conto corrente, un deposito cauzionale Cosa vogliono: chi scrive chiede il vostro aiuto sia per trasferire il denaro tramite il vostro conto che per anticipare il deposito cauzionale, offrendo in ricompensa (auguri ) una percentuale del denaro recuperato (ah ah ah ah!! ROFL)

ATTACCHI TECNOLOGICI (3) File scambiati tramite peer-to-peer il sistema che li scarica viene utilizzato come stazione di comunicazione e attacco per aggressioni verso l esterno obiettivo: comunicare a ignoti dati sensibili SCAM tentativo di truffa effettuato in genere inviando una mail in cui si promettono grossi guadagni in cambio di somme di denaro da anticipare si comunica una vincita alla lotteria ma per ritirare il premio si dovrà versare una tassa..

INGEGNERIA SOCIALE: METODI CLASSICI (1) Fingersi un collega Fingersi dipendenti di un fornitore, di una consociata oppure di un tutore dell ordine Fingersi persona dotata di autorità Fingersi un nuovo assunto che chiede una mano Fingersi un fornitore o un fabbricante di sistemi che telefona per offrire un aggiornamento o una patch al sistema Farsi rimbalzare un fax dando alla segretaria il numero di un servizio di fax online, che in automatico riceve un fax e lo gira via mail all'abbonato Usare una falsa finestra pop-up per chiedere all utente di connettersi di nuovo o registrarsi con una password

INGEGNERIA SOCIALE: METODI CLASSICI (2) Offrire aiuto in caso di problemi, poi fare in modo che il problema si presenti realmente, convincendo così la vittima a chiedere aiuto (reverse social engineering) Inviare programmi o patch gratis che la vittima deve installare Inviare un virus o un cavallo di troia come allegato di posta Lasciare una chiavetta usb o un cd contenente un software ostile in giro per l ufficio Offrire un premio a chi si registra a un sito web fasullo Lasciare un documento o un file nella sala posta aziendale per consegna interna

INGEGNERIA SOCIALE: METODI CLASSICI (3) Modificare l intestazione del fax affinché sembri provenire dall interno Chiedere al banco accoglienza di ricevere e inoltrare un fax Chiedere il trasferimento di un file in altro luogo che sembri interno all azienda Ottenere e impostare una casella vocale perché un eventuale telefonata di controllo faccia sembrare l attaccante persona appartenente all azienda Fingere di essere di un altra sede dell azienda e chiedere l accesso in loco alla posta elettronica

TRUCCHI FONDAMENTALI Uso della domanda mina antiuomo si pone la domanda mina se il bersaglio risponde senza che il tono di voce cambi, significa che non è scettico ergo, è possibile fargli la VERA domanda cruciale senza insospettirlo: probabilmente vi darà la risposta cercata Savoir faire per non insospettire: mai interrompere la conversazione una volta ottenuta l'informazione chiave: proseguire come se nulla fosse

INGEGNERIZZARE SE STESSI Diventare qualcun altro meglio al telefono Vestirsi in base all occasione Imparare a parlare in base al proprio ruolo Dire ciò che essi vogliono sentirsi dire imparare il più possibile sulla persona target Saper mentire

Fase psicologica

SICUREZZA E FIDUCIA A prescindere dal metodo adottato, il primo obiettivo dell'ingegnere sociale è creare fiducia nella vittima La fiducia nel prossimo fa parte della natura umana, soprattutto quando la richiesta sembra ragionevole A quel punto può scattare la trappola, che può sfruttare le conoscenze informatiche più o meno sofisticate dell'aggressore la sicurezza è tutta basata sulla fiducia la fiducia è basata sull autenticità e sui livelli di protezione

PEOPLEWARE Fattore umano dell Information Technology L anello debole non è la persona in sé è la naturale tendenza a credere alla parola altrui Comportamenti (naturali, sollecitati, forzati) che tutti mettiamo in atto e sui quali l ingegnere sociale può fare leva

OBIETTIVI DELLA FASE PSICOLOGICA Osservare il comportamento delle persone come reagiscono dove vanno cosa gli piace fare chi sono i loro amici Imparare come le persone pensano Imparare a localizzare le debolezze umane Imparare quali parole usare quando si parla a certe persone

SU COSA AGIRE L ingegnere sociale fa leva sui bisogni primari dell uomo per far sì che la propria richiesta venga accettata Manipola le persone affinché l attacco abbia successo Gerarchia dei bisogni di Maslow

BISOGNI PRIMARI Fisiologici funzionali al mantenimento psicofisico dell uomo: fame, sete, sonno,.. Sicurezza essere fuori pericolo: stabilità, protezione, dipendenza Appartenenza essere affiliati ad altri, accettati Stima ottenere approvazione e riconoscimento

BISOGNI SECONDARI Cognitivi conoscere, comprendere, esplorare Estetici simmetria, ordine, bellezza Autorealizzazione trasformare in realtà il potenziale inespresso Trascendenza aiutare gli altri a realizzare il loro potenziale

TENDENZE BASE DELLA NATURA UMANA Autorevolezza: tendenza a cedere quando una persona autorevole fa una richiesta (name dropping) Simpatia: tendenza ad obbedire quando la persona che avanza la richiesta è riuscita a presentarsi accattivante Ricambiare: tendenza ad obbedire automaticamente ad una richiesta quando viene dato o promesso qualcosa di valore Coerenza: tendenza a dire di si dopo aver sposato pubblicamente una causa per evitare di apparire inaffidabili Convalida sociale: tendenza ad obbedire quando, in tal modo, sembra di allinearsi agli altri Scarsità: tendenza a dire di sì quando si crede che l oggetto cercato stia scarseggiando e altri siano in competizione per averlo oppure sia disponibile solo per un breve periodo

CARATTERISTICHE DELLE VITTIME Paura delle conseguenze Senso di colpa Sentimentalismo Ritenere che l azione possa dare loro un vantaggio Tendenza implicita a dare fiducia agli altri Dovere morale Identificazione con l ingegnere sociale Naturale attitudine all aiuto Convinzione della propria non vulnerabilità NB: i nuovi assunti sono una ghiotta preda per gli attaccanti..

PERSUASIONE La finalità della persuasione personale non è quella di forzare un individuo a fare qualcosa ma quella di aumentare la sua volontaria condiscendenza alle richieste altrui La persona oggetto dell attacco viene guidata sul percorso scelto dall attaccante, lasciandole credere di avere il controllo totale della situazione (e di essere lei a voler liberamente aiutare qualcuno )

STRUMENTI DI PERSUASIONE Gli strumenti principali della persuasione includono impersonificazione: identificazione del soggetto con il persuasore conformità: conformarsi al giudizio degli altri diffusione di responsabilità: ritengono che l azione riduca le loro responsabilità accattivarsi la fiducia altrui e usare la cortesia

RIASSUMENDO (1) Gli attacchi di social engineering sfruttano la disponibilità, la buona fede e l insicurezza delle persone per accedere a dati confidenziali o indurre le vittime a effettuare operazioni Quando crediamo una cosa è perché di solito qualcuno ce l ha detta ossia, siamo stati influenzati

RIASSUMENDO (2) Non fidatevi delle persone che dicono di essere tecnici, addetti alla sicurezza, amministratori di sistema e vi chiedono password o altre informazioni senza aver prima dimostrato di essere chi affermano di essere Se avete dubbi e non sapete cosa fare, prendete tempo e contattate immediatamente un superiore A volte essere "cattivi" con il prossimo è un bene Non sentirsi male se si decide di rifiutare le richieste di uno sconosciuto che ci aveva pregato di aiutarlo dandogli l'account di un'altra persona molto probabilmente abbiamo evitato che un attacco di ingegneria sociale potesse avere successo...

PHISHING

PHISHING Tecnica di ingegneria sociale basata sul principio della supposta autorità che utilizza un messaggio di posta elettronica per acquisire informazioni personali riservate (password, dati finanziari, numero di carta di credito) con la finalità del furto di identità Il sistema si basa sul concetto di mail spoofing: invio di posta elettronica a nome di terzi ogni volta che spediamo un messaggio di posta elettronica il mittente non viene autenticato dal server di posta elettronica questo si giustifica per l origine sociale ed accademica della posta elettronica

PHISHING: PROFILI GIURIDICI Nell ordinamento giuridico italiano non esiste alcuna legge che prevede una definizione del phishing né che prescriva una qualche sanzione a carico del phisher Tuttavia il phisher commette una serie di reati collegati tra loro: illecito civile (risarcimento) truffa semplice ed aggravata (dai 6 mesi a 3 anni di carcere) frode informatica semplice ed aggravata (da 1 a 5 anni di carcere) Reato continuato: pena non inferiore ai 9 anni se il reato viene perpetuato più volte (condanna normale x 3)

DUNQUE: L Ingegnere sociale riesce nella maggior parte dei casi a far rivelare informazioni confidenziali propagare malware Le tecnologie per la sicurezza diventano sempre più raffinate e hanno sempre meno punti deboli tecnici Gli attaccanti saranno sempre più propensi a sfruttare l anello debole del processo della sicurezza L unica soluzione è cercare di evitare l ingegneria sociale

ING. SOCIALE: SE LA CONOSCI LA EVITI (1) Principio del need to know l accesso alle informazioni deve essere fornito solo limitatamente a quelle informazioni di cui si ha assolutamente bisogno per portare a termine i compiti di lavoro assegnati D.Lgs 196/2003 Allegato B Art. 13 e 14 le leggi a difesa della privacy impongono alle aziende che raccolgono informazioni sui proprio clienti di proteggere alcune di queste informazioni dall accesso non autorizzato Educare alla consapevolezza chi tratta informazioni sensibili i dipendenti devono sapere quali informazioni devono proteggere e come proteggerle i dipendenti devono sapere che esistono attacchi di ing. sociale le regole che contemplano la cieca obbedienza sono spesso ignorate o dimenticate..

ING. SOCIALE: SE LA CONOSCI LA EVITI (2) Politiche di sicurezza che incoraggino tutte le persone a : guardare i badge degli altri individuare eventuali sconosciuti distruggere il materiale cartaceo cancellare i supporti magnetici prima di cestinarli chiudere uffici e cassettiere tenere in ordine le scrivanie non inviare password ed account via e-mail controllare sempre che il sito che si sta visitando sia veramente quello dice di essere

ING. SOCIALE: SE LA CONOSCI LA EVITI (3) Eseguire periodicamente dei penetration test The final recommendation: "randomize yourself" ovvero: non essere prevedibili nel modo di vestirsi o di parlare nello stile di vita

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back