LA GUIDA PRATICA

Tecniche di social engineering: contromisure e strategie di difesa

Lo sfruttamento delle tecniche di social engineering fa sì che nessuna organizzazione è veramente al sicuro. Senza una profonda conoscenza del fenomeno, è difficile capire di essere vittima di un attacco e sapere cosa e dove “andare a cercare” per mitigarne l’impatto. Ecco le giuste contromisure e strategie di difesa

03 Lug 2019
S
Manuela Sforza

Cyber Security Analyst


Le tecniche di social engineering, implementate con mezzi avanzati o semplicemente attraverso l’interazione diretta, prendono di mira le «debolezze», le «tare» e le specificità dell’essere umano e colpiscono ogni tipo di struttura, anche (e forse di più) quella più attenta alle misure tecniche di sicurezza.

Di fronte alla molteplicità delle strategie di difesa, che analizzeremo nel dettaglio, in ultima analisi, l’unica misura veramente efficace è di tipo organizzativo: la formazione delle risorse umane.

Tecniche di social engineering: strategie di mitigazione

Una check list, a scopi non esaustivi, delle possibili contromisure potrebbe essere la seguente:

  • una definizione corretta, chiara e condivisa delle risorse informative dell’organizzazione, classificate in base all’impatto che una violazione alle proprietà CIA (Confidentiality, Integrity, Availability) potrebbe causare all’azienda e alle persone e degli accessi ad esse, circoscritti, gestiti e profilati con procedure e criteri accessibili e opportunamente condivisi;
  • il controllo degli accessi basato sul principio del minimo privilegio, unito al conseguente monitoraggio dei log generati è una misura fondamentale di detection, rilevazione dell’attacco e di mitigazione del potenziale impattante.
  • condurre sulle risorse organizzative (umane e tecniche) una periodica analisi del rischio, costantemente monitorata, per identificare in via preventiva le eventuali vulnerabilità;
  • dotare l’organizzazione di una chiara policy organizzativa (meglio se centralizzata, non lasciata alla discrezione della risorsa umana) di gestione delle password. Le password devono essere complesse: 8 caratteri in minuscolo (26^8 combinazioni), sono violabili in meno di 2 minuti; 8 caratteri maiuscoli e minuscoli, (56^8 combinazioni), in meno di 6 ore;
  • dotare l’organizzazione di procedure di corretta dismissione degli archivi cartacei e digitali (contro il dumpster diving);
  • distruggere i documenti cartacei con opportuni dispositivi frammentatori;
  • non gettare nei gestini supporti removibili o hard disk esterni se non dopo averne distrutto le parti meccaniche e il substrato di memorizzazione;
  • per l’accesso ai servizi cruciali per l’organizzazione, implementare (o richiedere di implementare) ove possibile l’autenticazione a due fattori;
  • dotarsi di software antivirus e antimalware a protezione perimetrale, possibilmente centralizzati e behaviour-based;
  • innalzare il livello dei filtri antispam del servizio mail;
  • disabilitare l’esecuzione del codice javascript dal browser (esistono dei plugin, come no javascript, che consentono di impostare regole molto selettive e granulari e di non perdere, sui siti legittimi, alcune funzionalità di navigazione);
  • utilizzare toolbar (come quella messa a disposizione da Netcraft) per controllare prima della navigazione l’integrità dei siti web;
  • implementare, ove possibile, tecniche di cifratura, per proteggere la confidenzialità delle informazioni e di hashing per verificare e tenere sotto controllo l’integrità dei file.

I primi due punti sono utili misure per fronteggiare le tecniche di attacco perché, da un lato, forniscono alla risorsa la chiara percezione dell’importanza delle informazioni che detiene (e, di conseguenza, degli obblighi di riservatezza e di non divulgazione); dall’altro, agiscono come tecniche di mitigazione ad attacco avvenuto perché il minimo privilegio di accesso attribuito alla vittima limiterà il potenziale dannoso delle informazioni a disposizione dell’attaccante.

Le contromisure verticali contro il furto di identità

Sappiamo che Il problema del furto di identità costituisce, nella società iperdigitale, un disagio grave e totalizzante.

Le informazioni spontaneamente condivise sui social network, unitamente a quelle oggetto di perdita, furto o violazione, possono costituire la base materiale per perpetrare l’appropriazione indebita di informazioni riservate (relative all’anagrafica, al numero di carta di credito, al documento,l’ indirizzo di casa e dell’ ufficio, il codice fiscale,il numero di telefono, la data di nascita, il numero di patente, di passaporto o le credenziali bancarie), in grado di identificare la persona e utilizzabili per scopi illeciti, come la violazione dell’account bancario, la clonazione della carta di credito, la creazione di utenze (elettriche ecc.) intestate alla vittima o il compimento di ogni sorta di reati a nome della vittima.

Per ricondurre tale rischio entro livelli e criteri di accettabilità, sarebbe opportuno:

  • mettere in sicurezza (anche con tecniche di cifratura) i propri dati identificativi digitali;
  • abilitare il servizio di notifica dei pagamenti attraverso online banking o controllare con regolarità l’estratto conto;
  • sospettare sempre ed effettuare controlli prima di fornire a chiunque propri dati identificativi;
  • minimizzare la condivisione di dati personali sui social network;
  • minimizzare le informazioni fornite al telefono e non rispondere alle mail non sollecitate;
  • non caricare documenti o altri dati personali su siti web non sicuri (posizionati su protocollo http);
  • controllare con attenzione un eventuale link prima di eseguirlo, allo scopo di verificare la presenza di anomalie sintattiche e via dicendo.

Le strategie verticali contro il phishing

La mail di phishing, specie se confezionata con software automatizzati, può essere facilmente «smascherata», indipendentemente dalla veste apparente con cui ci arriva.

WHITEPAPER
Sicurezza nel cloud: una guida ad architetture e soluzioni
Cloud
Sicurezza

I parametri simultaneamente presenti per attivare un alert devono essere:

  • mittente affidabile: il soggetto mittente sembra essere la banca, un nostro fornitore IT, un esponente di supporto tecnico, qualcuno percepito come fidato;
  • errori grammaticali;
  • l’occorrenza presunta di uno scenario di emergenza.

Ma la contromisura definitiva consiste nel visionare il codice sorgente del «pacchetto mail» elaborato dal protocollo SMTP.

Se utilizziamo un account Google, ad esempio, accanto alla freccetta per rispondere al mittente, cliccando sui tre punti, si accede ad un menu a tendina in cui è presente la voce Mostra originale che consente di visualizzare i dettagli dell’header, in particolare il campo From che, in caso di mail di phishing, è diverso da quello che compare nel frontend.

Tecniche di social engineering: la formazione dei dipendenti

Trasversale alle strategie di difese elencate sopra, che hanno lo scopo di «curare i sintomi» di un attacco di social engineering, rendendolo meno dannoso nelle sue conseguenze e mitigandone l’impatto, la formazione delle risorse umane ha l’ambizione di agire sulla causa che rende le probabilità di riuscita delle tecniche di ingegneria sociale così alte.

Attraverso la formazione, infatti, diamo alle risorse umane gli strumenti cognitivi per riconoscere un attacco e compiere non l’azione prevedibile a favore del criminale ma un’azione alternativa consona agli obiettivi dell’organizzazione.

Una formazione efficace stimola la riflessione della vittima realizzando 3 obiettivi fondamentali:

  1. inietta un intervallo di discontinuità tra l’euristica umana e l’azione prevedibile;
  2. favorisce il riconoscimento del pattern di attacco;
  3. fornisce alla risorsa un’euristica alternativa (attraverso le varie procedure di incident response), consona agli obiettivi dell’organizzazione.

Ma quali sono le caratteristiche di una formazione siffatta?

  • Deve innestarsi in un contesto di identità sociale soddisfacente per la risorsa umana. Se l’organizzazione è stata in grado di costruire una comunità e di proporre un ruolo percepito come desiderabile dal lavoratore, esso vivrà in modo costruttivo il percorso suggerito, sarà più propenso ad interiorizzarne i contenuti e a condividerne gli obiettivi.

Non sarà per lui semplicemente un insieme di istruzioni imposte dall’alto, cui adeguarsi passivamente, ma un percorso di crescita personale e professionale da vivere in modo positivo e proattivo.

Le connessioni neuronali beneficeranno pertanto dello stato d’animo percepito e tutto il processo favorirà l’apprendimento degli strumenti (razionali) necessari alla controffensiva.

  • La formazione efficace è interattiva, è un training. Si preoccupa di testare in continuazione l’interesse, la velocità di reazione e la comprensione degli argomenti da parte dei fruitori.

In effetti, gli indicatori di apprezzamento, di coinvolgimento, di affiatamento sono anche misure indirette del grado in cui siamo riusciti a creare la comunità e l’appartenenza sociale sopra richiamata: con tutta probabilità, in assenza di questo requisito, le sessioni (come qualsiasi altro contenuto proposto) saranno un mero adempimento da sopportare «prima di tornare a casa».

Da quanto detto si evince che da un’attività formativa ben condotta potremmo ottenere informazioni utili per la stessa strategia di difesa: sapremo leggere gli indicatori e capire quando ci troviamo davanti ad un insider/straniero da monitorare con attenzione.

  • Una formazione efficace fornisce contenuti ma anche punti di riferimento. Quando attraverso la policy aziendale suggeriamo l’euristica alternativa di risposta all’attacco, dobbiamo sempre assicurarci di assegnare alla risorsa un referente cui chiedere consiglio e guida per qualsiasi dubbio.

L’intervallo di discontinuità introdotto con gli strumenti della formazione infatti è breve, mentre la “tara” presa come bersaglio è atavica, ancestrale, frutto di decenni di convenzioni sociali e della stessa natura umana. Bisogna assicurarsi che in caso di confusione o di incertezza, il referente sia vicino alla vittima e possa essere consultato con immediatezza.

  • Una formazione efficace trasforma le «cadute» in valore, organizzando, ad incidente avvenuto, sedute di gruppo, incontri di discussione e di approfondimento per ripercorrere le fasi dell’attacco, ricostruire il pretext criminale, comprendere le debolezze su cui ha fatto leva e crescere insieme nella capacità di riconoscere e di far fronte alla minaccia.
  • Una formazione efficace viene testata, attraverso opportune tecniche di social engineering penetration test.

Conclusioni

Da quanto illustrato nel presente contributo, un attaccante ben formato, davanti ad un perimetro adeguatamente protetto può ritenere sconveniente dal punto di vista economico un hacking tradizionale e, sempre in una logica costi/benefici, decidere di manipolarne le risorse umane, attraverso le metodologie di ingegneria sociale.

D’altro canto i controlli organizzativi e le policy, non possono limitarsi a fornire un elenco statico di cose da non fare (non cliccare su mail non identificate, non fornire al telefono informazioni, non perdere di vista il portatile mentre si è delocalizzati ecc.) in quanto la complessità antropologica dei fenomeni sottostanti al comportamento indotto, esige una consapevolezza profonda da parte della risorsa, della logica e delle dinamiche dell’attaccante in modo che acquisisca gli strumenti per riconoscerle in tempo, fermarsi… e ragionare.

On demand
Il racconto di Carlo Cottarelli e Brunello Cucinelli. Rivivi il Think Digital Summit
Cloud
Risorse Umane/Organizzazione

Il punto cruciale della relazione (non lineare) tra ragionamento e azione umana, su cui interviene l’efficacia della formazione è quello dell’introduzione del momento della riflessione: si inietta infatti un intervallo di discontinuità tra euristica e azione prevedibile, si verifica il riconoscimento del pattern di attacco e si fornisce alla risorsa un’euristica alternativa attraverso la policy dell’organizzazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5