Universit degli Studi di Bologna II Facolt di Ingegneria - Cesena

OUTLINE
Concetto di ingegneria sociale Fasi dellattacco

INGEGNERIA SOCIALE
Ing. Ambra Molesini
DEIS 051.20.93541

fisica psicologica

Phishing Profili giuridici del phishing Conclusioni

ambra.molesini@unibo.it

DIVERSI ATTORI
Il tema dellhacking oggi molto diffuso e ci fa riflettere sul fatto che i nostri dati non sono poi tanto al sicuro come comunemente pensiamo Spesso per confondiamo la figura dellhacker con quella del cracker, attribuendo ad entrambi il ruolo di pirata informatico un delinquente tecnologicamente evoluto che si arricchisce rubando numeri di carta di credito, codici di accesso per conti correnti online, eludendo o forzando i sistemi di sicurezza La differenza invece rilevante

HACKER
una persona con spiccate capacit tecnico-informatiche, molto intelligente, curiosa, che ama esplorare in profondit e che di solito ama mettere a disposizione di tutti le sue scoperte Un hacker non si accontenta dellutilizzo di un software, ma vuole capirne le logiche di fondo, lo disassembla, evidenzia lacune e difetti, immagina una soluzione migliore e pi efficiente E una persona alla ricerca del software perfetto Spesso lhacker per mettere alla prova le sue capacit e per testare il sistema che ha di fronte ne forza divieti e password, ma non lo fa con lo scopo di delinquere, anzi spesso segnala le lacune proprio al creatore del software, offrendo aiuto nella sistemazione del problema

CRACKER
Cerca di eludere i sistemi di protezione a scopo di lucro, rubare segreti aziendali, carte di credito e quanto altro gli capiti a tiro Sembra paradossale ma quasi sempre gli hackers sono dotati di competenze informatiche superiori ai crackers, che a prima vista pare ne avrebbero pi bisogno Il motivo semplice: i crackers portano a termine le loro azioni criminose utilizzando tecniche molto pi efficaci della pura abilit informatica: la pi importante lingegneria sociale

CREDENZE: LA GUERRA INFORMATICA

Cracking una sofisticatissima guerra tecnologica, con ingegneri aziendali dotati di costose apparecchiature da una parte e giovani criminali super-esperti dallaltra, che operano dalle cantine di palazzi di periferia, con computer assemblati e altri strumenti fatti in casa I sistemi di sicurezza informatica fanno acqua da tutte le parti In realt molte aziende investono sostanziosi budget nella sicurezza informatica e hanno spesso a disposizione le migliori risorse umane e le tecnologie pi sicure e raffinate La guerra insomma, pare gi vinta in partenza dalle aziende E allora? Molto meglio lavorare e sfruttare le debolezze del fattore umano: gli esseri umani che controllano le macchine sono sicuramente molto pi vulnerabili

INGEGNERIA SOCIALE: DEFINIZIONI

Definizione 1: Una manipolazione della naturale tendenza alla fiducia dellessere umano, architettata e realizzata dallingegnere sociale con lobiettivo ottenere informazioni che permettano libero accesso e informazioni di valore del sistema Definizione 2: Arte che consente di distrarre, manipolare, ingannare, influenzare, nei pensieri e nel comportamento, la propria vittima al fine di raggiungere lobiettivo prefisso Definizione 3: Tentativo di intrusione non tecnico (con o senza lausilio di strumenti tecnologici) che consiste
nellinfluenzare una persona con lobiettivo finale di farle rilevare informazioni confidenziali farla agire in maniera tale da consentire accesso o uso non autorizzato di sistemi, reti o informazioni

INGEGNERIA SOCIALE

Si possono investire milioni di dollari per i propri software, per lhardware delle proprie macchine e per dispositivi di sicurezza all'avanguardia, ma se c' anche solo un unico dipendente della nostra azienda che pu essere manipolato con un attacco di ingegneria sociale, tutti i soldi investiti saranno stati inutili Kevin Mitnick

PERCHE INGEGNERIA SOCIALE?

Sociale perch coinvolge e studia il comportamento umano Ingegneria perch bisogna ingegnerizzare la situazione per raggiungere i propri obiettivi
richiede pianificazione

INGEGNERE SOCIALE
Stabilisce unidentit ed un suo ruolo Sviluppa una scusa plausibile per ottenere unimmediata confidenza Stabilisce un obiettivo minimo di risultato tramite le conoscenze acquisite o le sue deduzioni Costruisce il suo rapporto tramite simpatia o altre tattiche per influenzare la vittima Sviluppa possibili risposte per poter superare qualsiasi obiezione Prevede una possibile via duscita per non bruciare lorigine del suo contatto

Come nellhacking, la maggior parte del lavoro nella preparazione, piuttosto che nel tentativo stesso Lingegnere sociale programma lattacco come se fosse una partita a scacchi, anticipando le domande che il bersaglio pu porgli in modo da avere sempre la risposta pronta

INGEGNERE SOCIALE: FOOTPRINTING

Lingegnere sociale prima di compiere il gesto criminoso vero e proprio comincia con il raccogliere informazioni sul sistema da colpire Questa fase, chiamata tecnicamente footprinting, pu durare parecchi mesi Durante questo tempo lingegnere sociale studia e impara
i sistemi di comunicazione aziendale come funziona la posta interna lorganigramma aziendale giorni e orari di pulizia

INGEGNERE SOCIALE: FOOTPRINTING

frequenta gli uffici aziendali, magari consegna buste, caff, acqua conosce e dialoga con gli addetti alla sicurezza, segretarie, webmaster, sistemisti manda e-mail, telefona, si informa finge di essere un utente inesperto che ha smarrito una password manda unofferta di un nuovo firewall per aumentare il sistema di sicurezza

STORIA
I primi utilizzatori dellIngegneria sociale furono i phreaker per riuscire a carpire informazioni vitali dalle compagnie telefoniche Phreaking
forma di pirateria che permette di utilizzare la rete telefonica sfruttando i sistemi e i dipendenti dellazienda erogatrice del servizio

QUANDO LA SICUREZZA E UNILLUSIONE

Esiste un codice di sicurezza
che se utilizzato in modo improprio pu essere peggio di niente, perch regala lillusione di sicurezza che in realt non esiste

Non ci si accorge dellattacco

quando si rubano soldi o beni qualcuno si accorge che sono spariti quando si rubano informazioni quasi sempre non lo nota nessuno perch le informazioni restano comunque in possesso di chi le fornisce

Come ha detto il noto consulente del settore Bruce Schneier:

la sicurezza non un prodotto acquistabile ma un processo evolutivo che coinvolge lorganizzazione nella sua interezza

Troppo spesso la sicurezza solo unillusione

LE INFORMAZIONI
Le informazioni memorizzate nei computer sono gestite da operatori umani che molto spesso ignorano le procedure di sicurezza
la priorit di chiunque completare il lavoro in tempo le persone non sono consapevoli fino in fondo del reale valore delle informazioni che circolano in una struttura

ESEMPIO: AEREOPORTO
La sicurezza diventata onnipresente Eppure si rimane sconcertati dai servizi televisivi che mostrano viaggiatori che sono riusciti a superare i controlli con armi potenziali Com possibile? I metal detector non funzionano? No, il problema non sono le macchine Il problema il fattore umano, le persone che gestiscono le macchine

La sicurezza non quindi un problema di tecnologia, bens di persone e gestione che rappresentano lanello debole di questo processo Questa debolezza del processo di sicurezza universale, indipendente dalla piattaforma, dal software, dalla rete o dallet dellattrezzatura

PERCHE LA SE FUNZIONA?
Pi facile di un metodo hacking Non richiede specialisti ICT Ha un costo molto basso Comporta basso rischio Funziona con qualsiasi OS Non richiede collegamento in rete Lascia poche tracce efficace circa al 100% Non diventa obsoleta con il passare del tempo poco conosciuto dalle vittime

ULTERIORE MOTIVO
Gli attacchi degli ingegneri sociali possono avere successo perch tipicamente le persone sono ignare delle buone pratiche di sicurezza Albert Einstein disse: soltanto due cose sono infinite, luniverso e la stupidit umana, e non sono tanto sicuro della prima :)

VITTIME PREFERITE DALLA SE

Persone che
non hanno niente da perdere nel fornire una informazione sensibile tendono spesso a sottostimare il pieno valore delle informazioni hanno la percezione che seguire le basilari regole per la sicurezza delle informazioni sia uninutile perdita di tempo non prendono in considerazioni le conseguenze delle loro azioni sanno di non subire sanzioni disciplinari rivelando informazioni sensibili

FASI DELLATTACCO
Fase Fisica
raccolta di informazioni attraverso persone (shoulder surfing) documenti (supporti digitali distrutti, stampe di dati sensibili) luoghi (dumpster diving)

Fase Psicologica
impersonificazione carpire le informazioni utili attraverso la persuasione

STRUMENTI ESSENZIALI
Buona memoria per raccogliere le informazioni Telefoni (fisso, cellulare, pubblico) Fax

Fase Fisica

Scanner Stampanti Server di posta Cooperazione Argomenti e ragioni per giustificare lazione
pi la persona target vicina alle informazioni di cui abbiamo bisogno e pi forti devono essere le argomentazioni

OBIETTIVI E METODI DEGLI ATTACCHI

Obiettivi:
password fisici: modem, server help desk

ATTACCHI MEDIANTE INTERAZIONE UMANA

Richiesta diretta delle informazioni Truffe telefoniche (telephone scams) Rovistare nella carta straccia (dumpster diving) Rovistare negli hard disk dismessi Richiesta informazioni per un falso sondaggio Sbirciare alle spalle (shoulder surfing)

Metodi di attacco si distinguono in attacchi

che coinvolgono linterazione con altre persone o azioni svolte senza lausilio di metodi tecnologici perpetuati utilizzando la tecnologia

La giusta combinazione di entrambi permette allingegnere sociale di raggiungere i propri obiettivi

DUMPSTER DIVING
Termine che descrive il setacciamento dellimmondizia del bersaglio in cerca di informazioni di valore Nonostante il mito dellufficio senza carta, si continuano a stampare valanghe di fogli ogni giorno Non solo gli uffici bollette del telefono, resoconti della carta di credito, flaconi di medicinali, saldi della banca, scontrini del bancomat

ATTACCHI TECNOLOGICI (1)

Attacchi diretti al sistema
creazione di un nuovo ID account aggiungere privilegi o diritti di accesso per un account gi esistente

Esecuzione di un programma malicious (trojan) Attivazione di un piano di phishing Intercettazione (cellulari) Invio di mail contenenti virus e worm Malware: trojan, spyware, dialer, rootkit, Microfono, webcam, tastiere

KEYGHOST
Una societ neozelandese ha creato un dispositivo chiamato KeyGhost che cattura qualsiasi cosa venga digitata sulla tastiera Supporta la cifratura dei dati memorizzati Quello di base che contiene dati non cifrati pu durare 10 giorni (fino circa 97000 tasti premuti) prima che la sua capacit venga riempita

ATTACCHI TECNOLOGICI (2)

Finestre di Popup
la finestra appare sullo schermo indicando allutente che la connessione alla rete stata interrotta e che necessario reinserire username e password un programma poi invier via email le informazioni allingegnere sociale

Spam, Catene di S.Antonio

sfruttano lingegneria sociale per diffondersi non causano danni se non la riduzione della produttivit

Siti web
uno strategemma comune offrire qualcosa gratis oppure la possibilit di vincere una lotteria

ESEMPIO: NIGERIAM SCAM

Nella e-mail si parla di grosse somme di denaro che dovrebbero essere trasferite o recuperate da una banca estera la quale per chiede garanzie, come la cittadinanza, un conto corrente, un deposito cauzionale. Chi scrive perci chiede il vostro aiuto sia per trasferire il denaro tramite il vostro conto che per anticipare il deposito cauzionale Come ricompensa si ricever una percentuale del denaro recuperato

ATTACCHI TECNOLOGICI (3)

File scambiati tramite P2P
il sistema che li scarica viene utilizzato come stazione di comunicazione e attacco per aggressioni verso lesterno per comunicare a ignoti dati sensibili

SCAM
tentativo di truffa effettuato in genere inviando una e-mail nella quale si promettono grossi guadagni in cambio di somme di denaro da anticipare si comunica una vincita alla lotteria ma per ritirare il premio si dovr versare una tassa

METODI CLASSICI DELLA SE (1)

Fingersi un collega Fingersi dipendenti di un fornitore, di una consociata oppure di un tutore dellordine Fingersi persona dotata di autorit Fingersi un nuovo assunto che chiede una mano Fingersi un fornitore o un fabbricante di sistemi che telefona per offrire un aggiornamento o un patch al sistema Farsi rimbalzare un fax dando alla ricezionista il numero di un servizio di fax online, che in automatico riceve un facsmile e lo invia allindirizzo di e-mail dellabbonato Usare una falsa finestra pop-up per chiedere allutente di connettersi di nuovo o registrarsi con una password

METODI CLASSICI DELLA SE (2)

Offrire aiuto in caso di problemi, poi fare in modo che il problema si presenti realmente, convincendo cos la vittima a chiedere aiuto (reverse social engineering) Inviare programmi o patch gratis che la vittima deve installare Inviare un virus o un cavallo di troia come allegato di posta Lasciare una chiavetta usb o un cd contenente un software ostile in giro per lufficio Offrire un premio a chi si registra a un sito web fasullo Lasciare un documento o un file nella sala posta aziendale per consegna interna

METODI CLASSICI DELLA SE (3)

Modificare lintestazione del fax affinch sembri provenire dallinterno Chiedere al banco accoglienza di ricevere e inoltrare un fax Chiedere il trasferimento di un file in altro luogo che sembri interno allazienda Ottenere e impostare una casella vocale perch un eventuale telefonata di controllo faccia sembrare lattaccante persona appartenente allazienda Fingere di essere di unaltra sede dellazienda e chiedere laccesso in loco alla posta elettronica

TRUCCHI FONDAMENTALI
Uso della domanda mina antiuomo
si pone la domanda mina se il bersaglio risponde senza che il tono di voce cambi, significa che questo non scettico possibile quindi porre tranquillamente la domanda cruciale senza insospettirlo e probabilmente questo dar la risposta cercata

Mai interrompere la conversazione una volta ottenuto il dettaglio chiave

INGEGNERIZZARE SE STESSI
Diventare qualcun altro
meglio al telefono

Vestirsi a seconda delloccasione Imparare a parlare in base al proprio ruolo Dire ci che essi vogliono sentirsi dire
imparare il pi possibile sulla persona target

Fase psicologica

Saper mentire

SICUREZZA E FIDUCIA
A prescindere dal metodo adottato il primo obiettivo della SE quello di creare fiducia nella vittima La fiducia nel prossimo fa parte della natura umana, soprattutto quando la richiesta sembra ragionevole A quel punto pu scattare la trappola che pu sfruttare le conoscenze informatiche pi o meno sofisticate dell'aggressore
la sicurezza tutta basata sulla fiducia la fiducia basata sullautenticit e sui livelli di protezione

PEOPLEWARE
Fattore umano dellInformation Technology Lanello debole non la persona in s
la naturale tendenza dellindividuo a credere alla parola dellaltro, presentandosi cos debole e vulnerabile agli attacchi

Comportamenti (naturali, elicitati, forzati) che tutti mettiamo in atto e sui quali lingegnere sociale pu fare leva

OBIETTIVI FASE PSICOLOGICA

Osservare il comportamento delle persone (come reagiscono, dove vanno, cosa piace fare, chi sono i loro amici) Imparare come le persone pensano Imparare a localizzare le debolezze umane Imparare quali parole usare quando parli a certe persone

SU COSA AGIRE
Lingegnere sociale fa leva sui bisogni primari delluomo per far s che la propria richiesta venga accettata Manipola le persone affinch lattacco abbia successo

Gerarchia dei bisogni di Maslow

BISOGNI PRIMARI
Fisiologici
funzionali al mantenimento psicofisico delluomo: fame, sete, sonno,..

BISOGNI SECONDARI
Cognitivi
conoscere, comprendere, esplorare

Estetici
simmetria, ordine, bellezza

Sicurezza
essere fuori pericolo: stabilit, protezione, dipendenza

Auto-realizzazione
trasformare in realt il potenziale inespresso

Appartenenza
essere affiliati ad altri, accettati

Trascendenza
aiutare gli altri a realizzare il loro potenziale

Stima
ottenere approvazione e riconoscimento

TENDENZE BASE DELLA NATURA UMANA

Autorevolezza: tendenza a cedere quando una persona autorevole fa una richiesta (name dropping) Simpatia: tendenza ad obbedire quando la persona che avanza la richiesta riuscita a presentarsi accattivante Ricambiare: tendenza ad obbedire automaticamente ad una richiesta quando viene dato o promesso qualcosa di valore Coerenza: tendenza a dire di si dopo aver sposato pubblicamente una causa per evitare di apparire inaffidabili Convalida sociale: tendenza ad obbedire quando, in tal modo, sembrano allinearsi agli altri Scarsit: tendenza a dire di si quando si crede che loggetto cercato stia scarseggiando e altri siano in competizione per averlo oppure che sia disponibile solo per un breve periodo di tempo

CARATTERISTICHE DELLE VITTIME

Paura delle conseguenze Senso di colpa Sentimentalismo Ritenere che lazione possa dare loro un vantaggio Tendono implicitamente a dare fiducia agli altri Dovere morale Identificazione con lingegnere sociale Naturale attitudine allaiuto Convinzione della propria non vulnerabilit I nuovi assunti sono una ghiotta preda per gli attaccanti

PERSUASIONE
La finalit della persuasione personale non quella di forzare un individuo a fare qualcosa ma quella di aumentare la sua volontaria condiscendenza alle richieste altrui La persona oggetto dellattacco viene semplicemente guidata sul percorso scelto dallattaccante, senza fargli perdere la convinzione di avere il controllo totale della situazione, anzi lasciandogli credere di esercitare il suo libero arbitrio nella scelta di aiutare qualcuno

STRUMENTI DI PERSUASIONE
Gli strumenti principali della persuasione includono
impersonificazione: identificazione del soggetto con il persuasore conformit: conformarsi al giudizio degli altri diffusione di responsabilit: ritengono che lazione riduca le loro responsabilit accattivarsi la fiducia altrui e usare la cortesia

RIASSUMENDO
Gli attacchi di social engineering sfruttano la disponibilit, la buona fede e linsicurezza delle persone per accedere per esempio a dati confidenziali o per indurre le vittime a effettuare determinate operazioni Quando crediamo una cosa perch di solito qualcuno ce lha detta, cio siamo stati influenzati

RIASSUMENDO
Non fidatevi delle persone che dicono di essere tecnici, addetti alla sicurezza, amministratori di sistema e vi chiedono password o altre informazioni importanti senza aver dimostrato la loro posizione Se avete dubbio e non sapete cosa fare, prendetevi il vostro tempo e contattate immediatamente un superiore A volte essere "cattivi" con il prossimo un bene Non dobbiamo sentirci male se abbiamo deciso di rifiutare le richieste di uno sconosciuto che ci aveva pregato di aiutarlo dandogli l'account di un'altra persona Molto probabilmente abbiamo evitato che un attacco di ingegneria sociale potesse avere successo...

PHISHING
Tecnica di ingegneria sociale basata sul principio della supposta autorit che utilizza un messaggio di posta elettronica per acquisire informazioni personali riservate (password, dati finanziari, numero di carta di credito) con la finalit del furto di identit Il sistema si basa sul concetto di mail spoofing:
invio di posta elettronica a nome di terzi ogni volta che spediamo un messaggio di posta elettronica il mittente non viene autenticato dal server di posta elettronica questo si giustifica per lorigine sociale ed accademica della posta elettronica

PHISHING

PHISHING: METODOLOGIA DI ATTACCO (1)

L'utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail
con indirizzo falsificato (spoofed) che simula nella grafica e nel contenuto quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui iscritto) contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad es. un addebito enorme, la scadenza dell'account ecc.) invita il destinatario a seguire il link e a inserire i propri dati

PHISHING: METODOLOGIA DI ATTACCO (1)

Il link fornito, tuttavia, non porta in realt al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale Situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessit di effettuare una autenticazione al sistema Queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato

PHISHING ESEMPIO

PHISHING ESEMPIO

PHISHING: TECNICHE
Mascherare il sito di destinazione (url spoofing) Registrare nomi di dominio di fantasia ma molto simili a quelli originali Utilizzo di finestre di pop-up in cui richiedere i dati personali sul sito originale Sovrapporre una immagine alla barra degli indirizzi del browser Sostituire la barra originale degli indirizzi con una creata ad hoc dallattaccante Offuscare lindirizzo di destinazione con codici esadecimali Scaricare e installate spyware allinsaputa dellutente attaccato

PERCHE SI E DIFFUSO IL PHISHING

E molto pi semplice attaccare i singoli clienti del servizio web per un duplice motivo
le tecnologie utilizzate rendono pi semplice nascondere le proprie tracce ed evitare di essere rintracciati lutente medio non possiede le capacit necessarie per proteggersi dagli attacchi e per riconoscerli qualora si presentassero

Statistiche sul phishing

STATISTICHE SUL FURTO DELLE PASSWORD

Fonte: Antiphishing Working Group

Fonte: Antiphishing Working Group

QUANDO LA TECNOLOGIA FAVORISCE IL PHISHING

La maggior parte degli attacchi di phishing ha avuto successo grazie al sapiente utilizzo di falle di sicurezza presenti in Internet Explorer Nonostante la rapida diffusione di Firefox il prodotto microsoft detiene circa il 60% del mercato mondiale di utilizzo dei prodotti per la navigazione web Tale quota destinata a diminuire sensibilmente: si stima che entro il 2010 la quota di IE scender sotto al 50%

MERCATO BROWSER IN ITALIA

ULR SPOOFING
Internet Explorer 6: Meccanismo con il quale si viene rediretti ad un sito illegittimo mostrando per al visitatore lindirizzo reale Utilizzano il sistema semplice ed efficace di intervallare lindirizzo web con un carattere @ Esempio http://www.microsoft.com@www.sitopirata.it Il risultato che ottengo che il sito appaia quello di Microsoft, in realt esso sia quello che segue il carattere @

RISULTATI

se inserito nel browser direttamente da errore di sintassi non valida se inserito in un file html va tranquillamente al sito che compare dopo la chiocciola senza nessuna indicazione

Firefox 2:

PHISHING: COSA FARE?

Inoltrare il messaggio allAnti-Phishing Working Group (APWG) ente internazionale per la tutela degli utenti e la prevenzione di questo crimine solutionswp@antiphishing.org Per frodi in lingua inglese possibile inoltrare il messaggio direttamente alla Federal Trade Commission spam@uce.gov Fare la denuncia sul sito on-line della polizia postale italiana

COME DIFENDERSI
Assumere sempre un atteggiamento diffidente su tutti i messaggi che provengono da persone non conosciute Non alimentare le catene che invitano a rispedire il messaggio ad altre persone Banche, Assicurazioni e altri istituti di credito non mandano mai comunicazioni via email che riguardano codici di accesso personale, quindi bene cancellare ogni messaggio di questo tipo Diffidate di soluzioni antivirus che provengono via email
ci ritroveremo con un programma installato nel nostro computer che consente al cracker di controllare tutto il contenuto della nostra macchina da remoto senza che ce ne accorgiamo

COME DIFENDERSI
Effettuate acquisti con carta di credito solo presso societ conosciute e controllate che
il processo di pagamento avvenga in una pagina che inizia con https:// protetta da protocollo a 128 bit: si deve vedere sulla barra di stato in basso un lucchetto giallo chiuso, un doppio clic del mouse dovr mostrare tutte le caratteristiche di sicurezza della pagina e del certificato digitale installato la presenza su questa pagina del logo Verisign, un clic sopra dovr riportare al sito di Verisign Inc. con le informazioni relative al Fully Qualified Domain Name

PHISHING: PROFILI GIURIDICI

Nellordinamento giuridico italiano non esiste alcuna legge che prevede una definizione del phishing n che prescriva una qualche sanzione a carico del phisher Tuttavia il phisher commette una serie di reati collegati tra loro:
illecito civile (risarcimento) truffa semplice ed aggravata (dai 6 mesi a 3 anni di carcere) frode informatica semplice ed aggravata (da 1 a 5 anni di carcere)

Utilizzare programmi specifici che consentono di avvisare l'utente quando visita un sito probabilmente non autentico
barra anti-phishing di Netcraft blacklist

Reato continuato: pena non inferiore ai 9 anni se il reato viene perpetuato pi volte (condanna normale X 3)

CONCLUSIONI
LIngegnere sociale riesce nella maggior parte dei casi a far
rivelare informazioni confidenziali propagare malware

COME EVITARE LA SE (1)

Principio del need to know
laccesso alle informazioni deve essere fornito solo limitatamente a quelle informazioni di cui si ha assolutamente bisogno per portare a termine i compiti di lavoro assegnati D.Lgs 196/2003 Allegato B Art. 13 e 14 le leggi a difesa della privacy impongono alle aziende che raccolgono informazioni sui proprio clienti di proteggere alcune di queste informazioni dallaccesso non autorizzato

Le tecnologie per la sicurezza diventano sempre pi raffinate e hanno sempre meno punti deboli tecnici Gli attaccanti saranno sempre pi propensi a sfruttare lanello debole del processo della sicurezza Lunica soluzione quella di cercare di evitare lingegneria sociale

Educare e rendere consapevole chi tratta le informazioni sensibili

i dipendenti devono sapere quali informazioni devono proteggere e come proteggerle i dipendenti devono sapere che esistono attacchi di SE

COME EVITARE LA SE (2)

Educare e rendere consapevole chi tratta le informazioni sensibili
le regole che contemplano la cieca obbedienza sono spesso ignorate o dimenticate i dipendenti devono sapere quali informazioni devono proteggere e come proteggerle i dipendenti devono sapere che esistono attacchi di SE

COME EVITARE LA SE (3)

Politiche di sicurezza operazionali che
incoraggino tutte le persone a guardare i badges degli altri individuare eventuali sconosciuti distruggere il materiale cartaceo e cancellare i supporti magnetici prima di cestinarli chiudere uffici e cassettiere tenere in ordine le scrivanie non inviare password ed account via e-mail controllare sempre che il sito che si sta visitando sia veramente quello dice di essere

COME EVITARE LA SE (4)

Eseguire periodicamente dei penetration test randomizing yourself
non essere prevedibili nel modo di vestirsi o di parlare nello stile di vita