La sicurezza informatica dipende anche da voi

Praticamente tutti i settori della vita di oggi sono segnati dall'informatica. Questo rende molte attività più facili per noi, ma nasconde anche pericoli. Con il vostro comportamento corretto date un importante contributo alla sicurezza dei dati e dell'infrastruttura. L'astronauta «Cybie» e la sonda «Digi», le mascotte della nuova campagna di sensibilizzazione per la sicurezza informatica nell'Amministrazione federale, vi daranno utili consigli.

 

Io!

Sono una persona interessante. Certo, ma perché?

Vulnerabilità del fattore umano

I criminali informatici penetrano nei sistemi IT e si impossessano di dati sensibili non solo servendosi delle lacune di sicurezza dei software o degli hardware, ma soprattutto sfruttando la vulnerabilità del fattore umano. Per raggiungere i loro scopi, i responsabili sfruttano la disattenzione, la disponibilità e la buona fede di collaboratori e utenti di PC privati.

Social engineering – metodi e trucchi

Per social engineering s’intende la manipolazione di persone ignare allo scopo di indurle a compiere determinate azioni. I criminali ingannano le loro vittime con grande abilità psicologica e fingendo situazioni d’emergenza. Alcuni di essi contattano le persone con l’obiettivo preciso di convincerle, ad esempio, a rivelare le loro password, a scaricare dati o a collegare chiavette USB infette. Con uno sforzo relativamente contenuto i criminali riescono così a eludere l’intero sistema di sicurezza informatica. Le vittime sono più propense a compiere azioni avventate soprattutto quando i truffatori – sotto falsa identità – si spacciano per soggetti che ispirano fiducia come banche, la polizia, servizi di supporto informatico, superiori indiretti o conoscenti comuni.

Esempi di attacchi di social engineering

  • Per telefono:
    il criminale si spaccia per un operatore informatico che intende proteggere il PC privato da attacchi di hacker o disinfettarlo, e che pertanto necessita dei relativi dati di accesso. Oppure: il criminale finge di lavorare per un istituto di sondaggi e chiede che gli vengano forniti dettagli circa i dati personali, le password, le informazioni sulla carta di credito ecc.
  • Il criminale si finge un superiore (fake president fraud): il criminale – fingendosi un superiore – contatta personalmente per e-mail un collaboratore (servendosi di un indirizzo e-mail contraffatto talmente bene da sembrare autentico, per SMS o sui social media) e lo convince a trasmettergli urgentemente password o informazioni riservate oppure a depositare una chiave in un determinato posto ecc.
  • Phishing:
    il criminale effettua un invio massivo di e-mail in cui induce i destinatari a comunicare su un sito web le loro password o altri dati sensibili. Gli allegati o i link delle e-mail spesso contengono software dannosi (malware) che si installano automaticamente sul PC delle vittime.
  • Il criminale introduce illecitamente nelle imprese chiavette USB infette:
    il criminale invia per posta o consegna personalmente ai collaboratori delle chiavette USB infette, che questi devono collegare ai PC. In tal modo il criminale diffonde nell’impresa malware come virus, trojan ecc.
  • Il criminale si finge un amico sui social media:
    il criminale effettua un’intensa ricerca di persone in Internet e sui social network, si finge un «amico» e si guadagna così la fiducia delle sue vittime. Dopodiché le convince a intraprendere azioni imprudenti come la trasmissione di password, il trasferimento di denaro ecc.

Come comportarsi in caso di attacco di social engineering

Per proteggersi contro gli attacchi di social engineering non bastano le misure di carattere tecnico. È utile conoscere i pericoli esistenti e stare sempre all’erta. Per questa ragione è fondamentale istruire e sensibilizzare sia i collaboratori che gli utenti privati. Le vittime di attacchi di social engineering non sono solo utenti ingenui; basta una piccola disattenzione o un aiuto fornito incautamente per fare in modo che dati sensibili finiscano nelle mani sbagliate. Può succedere a tutti.

Una sana sfiducia è quindi sempre opportuna!

  • Social media:
    esaminate in modo critico di chi siete «amici» e quali informazioni rivelate (in particolare informazioni professionali).
  • Telefono:
    se non conoscete la persona che vi chiama, non rivelatele in nessun caso informazioni sensibili. Siate prudenti anche con le persone che conoscete. Microsoft, le banche e tutte le altre ditte non chiamano mai per «risolvere un problema».
  • E-mail:
    non aprite in nessun caso gli allegati di e-mail inviate da mittenti sconosciuti. Controllate attentamente se l’indirizzo è corretto. Fate attenzione ai mittenti con indirizzi simili e siate prudenti anche con i mittenti che conoscete.

In generale si applicano i principi seguenti:

  • tutti i collaboratori devono sapere come comportarsi qualora venissero contattati da persone sconosciute;
  • non comunicate a nessuno la vostra password;
  • non collegate in nessun caso una chiavetta USB di terzi al vostro PC;
  • non permettete a persone sconosciute di accedere all’edificio (ad es. tenendo loro la porta aperta);
  • non lasciate in giro, ma distruggete correttamente, i vecchi dati, dischi rigidi, documenti cartacei ecc.

 

 

 

Comportamento corretto:

 
 

Commento:

La campagna ICT Security si rivolge ai collaboratori dell'Amministrazione federale. Naturalmente, molte informazioni e suggerimenti valgono anche per gli utenti al di fuori dell'Amministrazione federale.

Ultima modifica 06.05.2019

Inizio pagina