Dall’analisi delle nuove strategie di attacco risulta evidente come i criminali informatici tendano sempre più frequentemente a sfruttare le vulnerabilità introdotte dal fattore umano per infiltrarsi all’interno delle reti aziendali e da lì estendere il perimetro di controllo su altri sistemi contenenti informazioni critiche. La prima fase dell’attacco si basa dunque sullo sfruttamento delle vulnerabilità introdotte dai comportamenti di lavoratori ingannati da moderne tecniche di social engineering.
Storicamente, proprio i dipendenti sono stati la fonte della maggior parte dei problemi di sicurezza all’interno delle aziende. Un tempo la minaccia principale era costituita dagli insider, cioè da quei lavoratori o ex lavoratori che si avvalgono di informazioni sensibili in proprio possesso per danneggiare l’azienda. Oggigiorno tale minaccia è ancora presente, ma non costituisce più l’unica modalità di accesso al perimetro aziendale. In aggiunta a questo tipo di attitudine dolosa si pone il grave problema di tutti quegli individui che, indirizzati da un attacco di social engineering, mettono in atto in maniera inconsapevole azioni dannose con ripercussioni sugli asset informativi dell’azienda.
È un dato di fatto come molti dei più recenti casi di data breach si possano far risalire a scenari di questo secondo tipo. Per citare un esempio autorevole, si pensi al caso dell’attacco Carbanak[1] che ha coinvolto diverse banche in diversi paesi e che ha permesso ad una gang di criminali informatici provenienti da Russia, Ucraina, Cina ed Europa, di rubare in due anni circa un miliardo di dollari americani dalle istituzioni finanziarie in tutto il mondo. Le indagini eseguite hanno rivelato come la diffusione del malware sia stata abilitata da ignari dipendenti, vittime di un attacco di social engineering. In sintesi, attraverso un attacco di spear phishing, i criminali hanno compromesso i pc di molti dipendenti, ottenendone il controllo da remoto. Semplicemente registrando le operazioni effettuate dagli utenti chiave, i criminali sono riusciti a identificare schemi di frode avanzati che hanno permesso di monetizzare l’attacco.
In generale si può affermare quindi che a causare l’accesso indesiderato ai sistemi informativi interni di un’azienda sia sempre più spesso l’errore umano forzato tramite attacchi di social engineering. Tale aspetto è spesso legato alla mancanza di percezione del rischio e ad altri fattori tipicamente soggettivi come l’esperienza personale e l’attitudine psicologica dell’individuo, in particolare in caso di parziale o totale mancanza di awareness. Una conferma di questo ci arriva dall’analisi del fenomeno del phishing, che rimane una delle armi più efficaci in possesso della social engineering, anche in un contesto in cui gli attacchi informatici stanno costantemente evolvendosi e diventando sempre più sofisticati[2].
Per tutte queste ragioni, non è più possibile limitare la governance e il management della sicurezza dei sistemi IT di un’azienda a fattori di natura strettamente tecnica. Oggi, l’adozione di tecnologie all’avanguardia e di processi considerati efficienti in accordo agli standard non sembrano più essere, infatti, misure sufficienti. Poiché gli attacchi informatici fanno sempre più affidamento sulla vulnerabilità umana, è quindi fondamentale estendere la governance della sicurezza per includere l’elemento umano tra i fattori di rischio e poter così attuare contromisure idonee che siano realmente efficaci.
A cura di CEFRIEL
[1] http://www.kaspersky.com/about/news/virus/2015/Carbanak-cybergang-steals-1-bn-USD-from-100-financial-institutions-worldwide.
[2] Dhamija, R.; et al.; “Why Phishing Works”, Proceedings of the SIGCHI Conference on Human Factors in Computing Systems, April 2006, www.cs.berkeley.edu/~tygar/papers/Phishing/why_phishing_works.pdf.
