Sfruttare la psicologia umana per violare i sistemi di sicurezza: le basi psicologiche dell’hacking:
La sicurezza informatica non è solo una battaglia di codici e firewall; è anche un regno in cui le tattiche psicologiche giocano un ruolo cruciale. Un esempio di questo è il recente attacco alla MGM Casino, attribuito principalmente al social engineering, una tecnica che manipola la psicologia umana per accedere a informazioni o sistemi confidenziali.
Il social engineering: una minaccia in evoluzione
Il social engineering, sebbene sembri moderno, ha radici che risalgono a decenni fa. Gli hacker sfruttano le vulnerabilità umane piuttosto che quelle tecnologiche. Ad esempio, durante gli anni ’90, quando ho iniziato a lavorare per la NSA, abbiamo ricevuto una formazione intensiva sull’identificazione e la mitigazione delle operazioni di influenza, comprese le tattiche di social engineering. Nonostante questo addestramento, abbiamo osservato apparenti attività innocue, come un negozio di pizza che offriva sconti agli impiegati NSA che mostravano i loro badge, che potevano essere facilmente replicati e utilizzati per scopi coercitivi.
Gli attacchi moderni: Sfruttare la fiducia e la curiosità
Gli attacchi moderni, come quello alla MGM Casino, sono più sofisticati e sfruttano la manipolazione psicologica per bypassare le difese. Gli hacker convincono il personale di assistenza di una società a ripristinare le password e i codici di autenticazione multifattore (MFA) per alcuni obiettivi di alto valore, ottenendo l’accesso alle loro piattaforme di social media personali e utilizzandole per infiltrarsi nei servizi IT gestiti, Okta, e installare un provider di identità per generare credenziali di accesso singolo (SSO).
Il fattore umano: una vulnerabilità costante
Il fattore umano rimane una vulnerabilità costante e sfruttabile. La consapevolezza è la prima linea di difesa, e l’educazione sulle tattiche di social engineering, come il phishing, il pretexting, il baiting e altro, può aiutare a riconoscere quando si è presi di mira.
La comprensione e la mitigazione dei rischi associati a queste strategie manipolative è fondamentale per la sicurezza aziendale. La collaborazione con professionisti della cybersecurity può aiutare a sviluppare una strategia di sicurezza completa che affronti sia le difese tecniche che il fattore umano.
Suggerimenti, soluzioni e best practice
- Formazione sulla sicurezza: Implementare un programma di formazione sulla sicurezza che includa la consapevolezza del social engineering, come il phishing, il pretexting, il baiting e altro.
- Verifica dell’identità: Implementare processi di verifica dell’identità rigorosi per ridurre il rischio di cadere vittime di attacchi di social engineering.
- Accesso controllato: Implementare e far rispettare controlli di accesso rigorosi e il principio del privilegio minimo per limitare le informazioni che un hacker può ottenere attraverso queste tattiche.
- Cultura della segnalazione: Promuovere una cultura in cui i dipendenti si sentano a proprio agio nel segnalare problemi di sicurezza.
- Consulenza professionale: Collaborare con professionisti della cybersecurity per valutare la postura di sicurezza attuale e sviluppare un approccio alla sicurezza completo che affronti sia le difese tecniche che il fattore umano.
