loading_spinner

Le nostre soluzioni

La competenza certificata, la continua formazione e l’aggiornamento del nostro personale ci permettono di realizzare soluzioni tecnologiche sempre al passo con i tempi e avanguardia.

I nostri servizi

Servizi sistemistici offerti per il supporto tecnico delle infrastrutture informatiche della tua azienda, consentendoti di lavorare in serenità e di concentrarti sul tuo Core Business.

I servizi sono curati dal nostro team di esperti che, grazie a una esperienza ventennale, garantisce il funzionamento quotidiano dei tuoi sistemi IT.

Social engineering: il punto debole è il fattore umano

La social engineering sfrutta l’anello debole della catena di sicurezza informatica nelle aziende per creare una falla da cui rubare informazioni e dati sensibili; qual è questo punto critico? Il comportamento umano

L’utente si conferma, per le aziende, l’elemento di rischio costante nella cybersecurity: lo dicono i risultati di una ricerca del Politecnico di Milano; dall’analisi risulta che le principali fonti di rischio sono sistemi IT obsoleti, mancato aggiornamento di patch e/o aggiornamenti, ma soprattutto la poca consapevolezza dei dipendenti (circa l’82% delle aziende la reputano la criticità maggiore).

Di cosa si tratta?

La social engineering si può definire come la capacità di analizzare il comportamento umano con lo scopo di creare delle trappole su misura della vittima designata: i dipendenti vengono manipolati per ottenere dati e informazioni sensibili, denaro e/o l’identità del malcapitato.
In questi casi, il truffatore non è sempre un’informatico esperto: è sufficiente che sia una persona abile nel mentire e adattarsi alla “persona che ha di fronte”.

In estrema sintesi la social engineering sfrutta il punto debole del sistema informatico: l’utente, che si rivela una fonte perfetta per avere tutte le informazioni utili sull’azienda target.

Qualche tecnica

  • Baiting: questa tecnica si basa sullo stuzzicare la curiosità umana. In pratica il truffatore utilizza come esca un dispositivo removibile lasciato in bella vista: lo scopo è quello di indurre il malcapitato ad inserire il dispositivo, come una chiavetta o un cd, nel proprio dispositivo mobile o pc in modo da avere libero accesso all’intero sistema aziendale. Questa tecnica è detta anche adescamento.
  • Phishing: questo metodo è uno dei più conosciuti, ma nonostante questo, un’altissima percentuale di utenti ne cadono vittime. Il malvivente sfrutta la posta elettronica: lo scopo è il furto dei dati dell’utente che ignaro apre l’allegato, inserisce le proprie credenziali o clicca sul link pericoloso. Spesso i mittenti delle mail-truffa si fingono organizzazioni o aziende conosciute: questi attacchi sono studiati e pianificati nei dettagli, proprio per sfruttare al meglio la debolezza umana.
    Il phishing può ricorrere anche a strumenti diversi dalla posta elettronica, come gli SMS (smishing) o i messaggi su Whatsapp o Telegram (instant messaging).
  • Pretexting: in questo caso il truffatore chiama la vittima designata fingendosi un operatore accreditato e cercando di instaurare un rapporto di fiducia allo scopo di farsi lasciare le credenziali d’accesso o qualche codice.
  • Trashing: il malintenzionato, in questo caso, setaccia letteralmente la spazzatura della utente preso di mira, alla ricerca di bollette, documenti con dati sensibili o estratti conto. Si parla anche dei dispositivi dismessi: chiavette USB, tablet o cellulari sono fonti ricche di informazioni personali e non.

Cosa fare? Sensibilizzare

La parola chiave è sensibilizzare sul tema della social engineering. Esistono una serie di azioni e/o contromisure che possono essere messe in atto per cercare di circoscrivere i rischi che derivano dal fattore umano; ogni azienda dovrebbe avere una chiara strategia per informare e formare i propri dipendenti sui temi di Information Security e protezione dei dati. Secondo diversi studi e ricerche, sembra che la maggioranza delle aziende si sia già attivata per fronteggiare questi problemi grazie a piani di formazione ben pianificati.

Le attività di sensibilizzazione degli utenti possono essere varie: le aziende si affidano soprattutto ai corsi online
CORSI ONLINE, il materiale multimediale utilizzato in questi corsi rende più semplice e fruibile la formazione dei dipendenti dell’azienda;
FORMAZIONE IN AULA, metodo più tradizionale, ma sempre efficace per lo scopo formativo;
MATERIALE INFORMATIVO (dal cartello affisso in azienda, al voucher distribuito manualmente);
INVIO DI COMUNICAZIONI PERIODICHE, l’invio di semplici mail o newsletter permette di mantenere aggiornato e consapevole il dipendente;
SIMULAZIONI DI ATTACCHI INFORMATICI, questo permette di fare un’esperienza diretta della situazione di attacco; in questo modo si crea la consapevolezza nel dipendente e si può testare l’efficacia dei sistemi di sicurezza pianificati.
TRAINING INFORMALE, questo invece è un approccio più informale: vengono organizzati degli incontri con esperti di settore in cui si svolge un’autovalutazione per identificare il proprio livello di awareness.

Vuoi scoprire come funziona la social engineering? Clicca qui 

Qualunque sia l’approccio scelto dalla tua azienda, lo scopo rimane lo stesso: formare i dipendenti per non farli cadere in trappole costruite appositamente per loro, cercare di ridurre al massimo i rischi legati al fattore umano e creare una cultura della cyber security tra i dipendenti dell’azienda stessa per contrastare le trappole dell’ingegneria sociale.

IL PRIMO PASSO PER LA TUA AZIENDA È FORMARE I TUOI DIPENDENTI
IL SECONDO PASSO È AFFIDARTI A TEL&CO PER AGGIORNARE IL TUO SISTEMA IT ED ESSERE PROTETTO DA MINACCE INFORMATICHE ESTERNE

Vuoi altre informazioni?

Fonte dei contenuti: ZeroUno.it

Eventi

Sophos Day 2022

Sophos Day25 Ottobre 2022 | Ore 12:30 – 17:30@ Hotel Principe di Savoia, Milano Quanto ti preoccupa la cybersecurity? Ti

Rimaniamo in contatto: iscriviti alla Newsletter!

Ti inviamo gli aggiornamenti e le ultime novità dal mondo IT!