In queste ultime settimane prima della pausa natalizia affronteremo insieme una serie di argomenti “a puntate” relativi al rapporto tra elemento umano, cybersecurity e intelligenza artificiale. Lo scopo di questa serie, che verosimilmente non si guadagnerà la prima posizione su Netflix, ma che speriamo possa essere utile, è quello di proporre un nuovo tipo di approccio alla sicurezza informatica, mettendo l’uomo al centro dei processi e delle procedure. Abbiamo detto spesso che nella strategia di sicurezza di ogni Ente locale l’elemento umano è fondamentale, per due ragioni, uguali e contrarie: da un lato costituisce la miglior prevenzione per qualsiasi tipo di attacco, se adeguatamente formato, dall’altro costituisce l’anello debole della catena ed il maggior canale di ingresso di malware di qualsiasi genere.
Ripensare il proprio impianti di cybersecurity partendo dall’intelligenza umana, per arrivare a quella artificiale può quindi essere un modo utile e stimolante per affrontare le sfide che la rivoluzione tecnologica ci sta sottoponendo. Augurandoci che questa nuova serie vi stimoli ad affrontare le sfide con maggiore competenza e con un briciolo di creatività (dopo tutto la cybersecurity è un’arte vera e propria) cominciamo il nostro viaggio parlando di social engineering.
L’errore umano nei processi di cybersecurity
La sicurezza informatica è l’arte di proteggere le reti, i device e i dati da accessi non autorizzati o da un utilizzo criminoso ed è la pratica di assicurare la confidenzialità, integrità e disponibilità delle informazioni. E trattandosi di un’arte essa comprende diversi elementi, tra cui quello umano. I criminali informatici da un lato tentano di manipolare i sistemi per trovare una porta di accesso ed entrare a fare danni (rubare dati, credenziali di accesso, denaro, bloccare i sistemi eccetera), dall’altro tentano di manipolare le menti ed il comportamento dei dipendenti per ottenere lo stesso risultato.
Utilizzando un misto di tecniche di scienze umane (psicologia, scienze comportamentali) e di tecniche informatiche si arriva a manipolare il comportamento dell’essere umano per indurlo a commettere quell’errore che risulterà fatale, a cliccare su quel link, ad aprire quell’allegato, a dare credito a una certa comunicazione e cedere i codici di accesso e le password che invece dovevano essere ben conservate.
Il social engineering
Il social engineering rappresenta un’arte sottile di manipolazione psicologica, che mira a sfruttare la naturale propensione umana a fidarsi per ottenere informazioni riservate, accesso a sistemi informatici o per indurre determinati comportamenti. Questo approccio si basa sulla convinzione che le persone siano spesso il punto debole più vulnerabile nella sicurezza informatica, ed è quindi più facile manipolarle che tentare di violare direttamente i sistemi tecnici.
Tecniche di Social Engineering
Phishing: Una delle tecniche più diffuse è il phishing, che coinvolge l’invio di e-mail, messaggi di testo o messaggi su piattaforme di social media che sembrano provenire da fonti affidabili, come banche o istituzioni governative. Questi messaggi cercano di indurre la vittima a fornire informazioni sensibili, come password o numeri di carte di credito.
Ingegneria Sociale Umana: Questa tecnica si basa sulla manipolazione delle relazioni interpersonali. Un attaccante può cercare di instaurare una connessione con la vittima, magari fingendo di appartenere alla stessa organizzazione, per poi sfruttare questa relazione per ottenere informazioni riservate.
Impersonificazione: Gli attaccanti possono impersonare figure di autorità, come tecnici informatici o dirigenti aziendali, per convincere le persone a rivelare informazioni sensibili o ad eseguire azioni dannose.
Obiettivi del Social Engineering
Ottenere Informazioni Sensibili: L’obiettivo primario è acquisire informazioni confidenziali, come password, dettagli di accesso, numeri di carte di credito o dati personali che possono essere utilizzati per scopi fraudolenti.
Accesso Non Autorizzato: Gli attaccanti cercano di ottenere accesso non autorizzato ai sistemi informatici o alle reti aziendali sfruttando la fiducia delle persone.
Diffusione di Malware: Alcuni attacchi di social engineering coinvolgono l’invio di link o allegati dannosi che, se aperti, consentono l’installazione di malware sui dispositivi della vittima.
Un esempio fittizio di social engineering
Supponiamo di considerare un piccolo comune italiano, che per comodità chiameremo Clerville. In questo scenario di social engineering, un attaccante cerca di ottenere informazioni sensibili per accedere ai sistemi informatici del Comune e compromettere la sicurezza dei dati.
Fase 1: Ricerca e Raccolta di Informazioni. L’attaccante inizia raccogliendo informazioni su Clerville, come i nomi dei dipendenti comunali, le relazioni lavorative e le procedure interne. Queste informazioni possono essere ottenute attraverso fonti pubbliche, social media, siti web del comune e contatti telefonici. Non occorre essere maghi del computer e nemmeno esperti investigatori. In rete, pubblicamente, troviamo molte più informazioni di quanto noi stessi possiamo immaginare.
Fase 2: Creazione di una Falsa Identità. L’attaccante crea una falsa identità, ad esempio, un consulente informatico che offre servizi di aggiornamento della sicurezza informatica per le istituzioni locali. La falsa identità può essere supportata da un falso sito web e account di social media. Anche qui nulla di particolarmente ricercato: basta un computer, una connessione internet e il gioco è presto fatto.
Fase 3: Contatto Iniziale. L’attaccante contatta un dipendente del Comune, magari il responsabile dell’ufficio tecnico, attraverso una e-mail apparentemente legittima. Nell’e-mail, l’attaccante afferma di essere stato incaricato da un superiore di svolgere un audit sulla sicurezza informatica del comune, offrendo i propri servizi.
Fase 4: Costruzione di Fiducia. L’attaccante cerca di costruire fiducia spiegando la necessità di raccogliere alcune informazioni preliminari per personalizzare l’approccio all’audit. Potrebbe chiedere al dipendente di confermare le informazioni dell’account, come nome utente e password, o di fornire dettagli su come vengono gestiti i backup.
Fase 5: Ottenimento di Informazioni Sensibili. Sfruttando la fiducia instaurata, l’attaccante potrebbe persuadere il dipendente a condividere informazioni più sensibili, come accessi a sistemi interni, dettagli su procedure operative o persino a eseguire azioni dannose, come l’apertura di link malevoli.
Fase 6: Utilizzo delle Informazioni Acquisite. Una volta ottenute le informazioni, l’attaccante può utilizzarle per accedere ai sistemi del Comune, compromettere dati sensibili, diffondere malware all’interno della rete comunale o avviare una esfiltrazione di dati in rete.
Un esempio reale di social engineering
Nel novembre dello scorso anno, AgID segnalava il ritorno in Italia di Emotet, un software malevolo molto diffuso tramite campagne di phishing. Emotet veicolava, tramite e-mail, un allegato in formato .zip protetto da password e contenente un file .xls dotato di una macro malevola.
I passaggi per installare questa macro nel sistema dovevano tutti essere effettuati dall’uomo:
- aprire l’e-mail
- aprire lo zip allegato
- immettere la password
- aprire il file Excel che si trova dentro lo zip
- abilitare le macro di Office, ignorando tutti i warning di Office
Ripensare la strategia di cybersecurity in ottica umana
I temi naturalmente sono due, ossia avere un utente poco preparato e un sistema che, a fronte di questa scarsa preparazione non è sufficientemente forte per proteggersi con supporti tecnici laddove l’umano sbaglia. La combinazione dei due fattori può avere conseguenze micidiali. Il fatto che un semplice clic (d’accordo, una serie di clic, in questo caso) possa mettere ko un intero Comune non è “colpa” di quell’impiegato malcapitato, ma è figlio di un’intera organizzazione che ha fallito, anche se ovviamente dare la responsabilità al singolo è più semplice e meno impegnativo, anche dal punto di vista economico.
Ripensare la strategia di cybersecurity in ottica umana, ossia mettendo al centro l’essere umano, significa incrementare i livelli di formazione e consapevolezza, ma non solo. Sarebbe riduttivo pensare che con un corso di tre o quattro ore avremmo risolto ogni tematica.
Il tema richiede un approccio olistico (termine che ultimamente va per la maggiore, e che però in questo caso è quanto mai attuale) che presuppone competenze tecniche, va da sé, ma non solo.
Se gli attacchi di social engineering sfruttano la psicologia e la debolezza umane, occorre considerare, nell’affrontare il problema, questioni psicologiche, etiche, culturali, un una parola occorre fornire al personale una serie di soft skill o competenze trasversali che troppo spesso sono sottovalutate, quando non del tutto ignorate dal titolare.
Non basta inviare una finta e-mail di phishing e contare quanti clic vengono effettuati dai dipendenti; occorre, qui come altrove (e ne abbiamo già parlato) un radicale cambiamento di mentalità, che porti il Comune a formare i propri dipendenti sotto doversi punti di vista.
Mettendo di dipendenti al centro della nostra strategia di sicurezza comporterà ripensare il modo in cui si strutturano penetration test convincenti o scansioni di vulnerabilità per testare a fondo le debolezze umane. In altri termini, imparare a usare le tecniche di social engineering a nostro vantaggio.
Vedremo nelle prossime settimane come fare per introdurre una nuova dimensione della sicurezza informatica, che al pari di quella classica, che si occupa dei sistemi tecnologici, si concentri sull’elemento umano, partendo dall’ovvio presupposto che le persone (come le entità) non sono tutte uguali e che quindi il loro comportamento varia a seconda del variare delle circostanze, per cui non è detto che ciò che va bene per il Comune di Clerville vada bene anche per il nostro.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento