Tailgating e Piggybacking sono due pratiche che rientrano sempre nella sfera del social engineering che sfruttano cioè il fattore umano per violare aree riservate al personale autorizzato con il conseguente rischio per la sicurezza, sia fisica che dei sistemi informativi.

Scopriamo di seguito di cosa si parla esattamente per poi capire come tali scenari siano applicabili sia alla sicurezza fisica che a quella informatica. Letteralmente esiste una sottile differenza tra il significato di Piggybacking e Tailgating.

Il Tailgating rappresenta la situazione in cui un individuo senza autorizzazione all’accesso segue da vicino un’altra persona autorizzata in un’area riservata senza dare nell’occhio, magari approfittando del momento in cui la persona autorizzata apre con il suo badge la porta e prima questa si chiuda ne approfitta per intrufolarsi all’interno.

Il Piggybacking invece rappresenta quella situazione in cui qualcuno effettua un accesso ad un area riservata con il permesso, nella maggior parte dei casi ottenuto con l’inganno, di una persona autorizzata.

Ricorderete tutti il famoso film con Leonardo Di Caprio “Prova a prendermi” in cui interpretava il famoso truffatore Frank Abagnale.

Questo scaltro personaggio entrava in aree riservate come aeroporti e ospedali fingendo di essere un’altra persona o camuffandosi da pilota di aerei.. tramite l’inganno e l’astuzia riusciva nel suo intento, causando un danno economico alle compagnie che truffava. Al di là della simpatia che potrebbe suscitare il personaggio del film, il tailgating è un serio problema per le aziende e chi lo compie agisce in violazione della legge, molto spesso con intenti criminali.

Nel caso del PIggyBacking, chi vuole ottenere un accesso senza autorizzazione, potrebbe ad esempio presentarsi all’ingresso di un’organizzazione, ben vestito, in giacca e cravatta spacciandosi per un cliente e di fatto eludendo i controlli anche del personale addetto alla sicurezza.

Oppure potrebbe presentarsi travestito da corriere o fattorino, magari trasportando un pacco ingombrante chiedendo la cortesia a qualcuno del personale, in quel momento all’esterno, di aprire la porta d’ingresso protetta da una serratura funzionante con badge aziendale.

In molti casi, comprovati dall’esperienza reale, accade che la gentilezza o l’ingenuità facciano ottenere a questi individui l’accesso ad aree riservate, con il conseguente rischio per la sicurezza delle persone e delle proprietà e dei dati riservati aziendali.

Chi effettua un tentativo di accesso non autorizzato è a conoscenza di queste “debolezze” e le sfrutta per ottenere ciò che vuole.

Lascereste entrare qualcuno che non conoscete all’interno di casa vostra?

Anche se ve lo chiedesse gentilmente e non mostrasse cattive intenzioni?

Probabilmente ci pensereste un po’ su prima di farlo.
Sono remore corrette perché in gioco c’è la vostra sicurezza e quella dei vostri cari.

Anche nel contesto lavorativo è richiesto lo stesso atteggiamento prudente e consapevole, quindi se notate una persona sconosciuta all’interno della vostra azienda, magari sprovvista del badge, è necessario seguire alcune procedure:

  • la maggior parte delle aziende ha delle policy di sicurezza relative all’accesso negli spazi riservati, se non le conosci, chiedi al personale preposto e mettile in pratica
  • non permettere a qualcuno che non riconosci come collega di entrare insieme a te (tailgating) mentre effettui l’accesso ad aree riservate al personale aziendale, se la porta ha un dispositivo di chiusura lascia che sia lui, se è autorizzato, ad aprirla
  • se noti qualcuno che non conosci all’interno del tuo ufficio, controlla se dispone di un badge visitatore
  • se noti qualcuno di sospetto ma non te la senti di affrontarlo direttamente chiedendogli il perché della sua presenza, informa subito il personale della sicurezza, sono lì esattamente per quelle eventualità

Per quanto riguarda gli spazi di coworking, la situazione potrebbe essere un po’ più complicata…

In queste aree lavorano numerosi dipendenti di aziende diverse con un alto turnover delle persone, che spesso non si conoscono tra di loro, ciò potrebbe essere sfruttato dall’intruso in diversi modi per accedere all’interno di aree riservate

 il piggybacking in ambito informatico

Purtroppo sono numerose le violazioni dei sistemi informativi causati da disattenzioni o ingenuità dei dipendenti: schermi non bloccati da password, credenziali di accesso scritte su un post-it attaccato sul monitor, ecc.

Tutti questi comportamenti non passeranno sicuramente inosservati a chi si introduce all’interno di aree riservate, senza autorizzazione e con scopi ben precisi.

Anche In questi casi è necessario seguire le policy di sicurezza aziendale:

  • ricordarsi di bloccare il proprio laptop o desktop, di cui si è responsabili, se ci si allontana dalla postazione di lavoro e spegnerlo quando si giunge al termine della giornata
  • proteggere l’accesso con una password forte e non condividerla con nessuno (nemmeno se ricevi una telefonata dal sedicente tecnico IT che ha bisogno della tua password per “fare cose” – Nessun tecnico te la chiederebbe mai!)
  • mantenere la propria postazione in ordine senza dimenticare o lasciare incustoditi documenti aziendali cartacei e non, preda ambita dei famigerati ingegneri sociali
  • tenere tutti i documenti riservati al sicuro in scomparti chiusi a chiave e distruggere i documenti con dispositivi appropriati quando non servono più

Queste e altre importanti informazioni sono a disposizione nella nostra piattaforma di training CyberBrain Awareness, che permette ai dipendenti di incrementare le loro competenze per resistere agli attacchi informatici e alle tecniche di social engineering come quelle indicate in questo articolo.

DA DOVE PROVIENE IL TERMINE SPAM?

Autore: D'Agostino Rocco 15 mar, 2024
Un viaggio dalla carne in scatola alle e-mail indesiderate: scopriamo l’insolita evoluzione del termine ‘Spam’.

LOCKBIT: LA GANG DEL CYBER CRIMINE

Autore: D'Agostino Rocco 22 dic, 2023
Sicuramente in questi giorni avrai sentito parlare di LockBit e dell’attacco alla pubblica amministrazione. Ma chi è LockBit, quando è nato e soprattutto, perché esiste? CyberBrain , il cyber team di HRC, è qui per rispondere alle tue domande!

CYBERBRAIN, LIBRAESVA & SYNETO | TI ASPETTIAMO IL 16 NOVEMBRE

Autore: D'Agostino Rocco 09 nov, 2023
Vieni a scoprire il meglio della sicurezza made in Italy
Firewall

I firewall: cosa sono e tipologie

Autore: D'Agostino Rocco 05 ott, 2023
Un firewall è un componente essenziale della sicurezza informatica che serve a proteggere una rete o un sistema informatico da minacce esterne come attacchi informatici, malware, virus, tentativi di accesso non autorizzato e altri tipi di intrusioni.

NON PERDERTI A TORINO IL CYBERSECURITYTOUR – 20 SETTEMBRE 2023

Autore: D'Agostino Rocco 01 ago, 2023
Le vacanze sono alle porte, ma qui in HRC, il nostro impegno nel tenerti sempre aggiornato sulle ultime novità tecnologiche non si ferma mai! Siamo entusiasti di annunciare il nostro prossimo evento: il CyberSecurityTour a Torino. In collaborazione con Sophos , uno dei nostri partner storici, abbiamo creato un’esperienza formativa, piacevole e divertente per te, che si terrà il 20 settembre. Scopriamo insieme in cosa consiste il CyberSecurityTour! Affrontare le Minacce Informatiche : Le minacce informatiche stanno diventando sempre più sofisticate e frequenti. Secondo recenti statistiche, il 72% delle organizzazioni ha segnalato un aumento del numero di attacchi nell’ultimo anno, mentre il ransomware ha colpito il 78% delle organizzazioni in più rispetto allo scorso anno. La sicurezza informatica è diventata una priorità cruciale poiché il 69% dei responsabili IT ha visto aumentare il carico di lavoro correlato. La Sfida della Tecnologia : Le organizzazioni si affidano in media a oltre 46 strumenti di monitoraggio della sicurezza informatica, ma la maggior parte dei team di sicurezza si trova sommerso dagli avvisi e dalla reportistica. L’investimento in sicurezza informatica è significativo, con un costo medio di 7.500 dollari per dipendente. Tuttavia, in un mercato altamente competitivo, l’aspetto più critico è attirare e trattenere esperti di sicurezza informatica. La tecnologia da sola non è più sufficiente per proteggere le organizzazioni dalle minacce informatiche. Ciò di cui hai bisogno è un servizio gestito da esperti, in grado di monitorare 24/7 l’infrastruttura aziendale e perfettamente integrabile con gli strumenti già utilizzati in azienda. Rilevare le minacce è solo l’inizio, è necessario adottare un approccio proattivo e strategico per contrastarle efficacemente. Unisciti a Mauro Pisoni , Senior Sales Engineer di Sophos Italia e al nostro CTO Nino D’Amico il 20 Settembre per il nostro CyberSecurityTour dedicato alla sicurezza, scopri di più su come affrontare le sfide e conosci i migliori metodi per contrastare le attuali minacce, ti invitiamo a partecipare al nostro evento il 20 settembre presso il Circolo del Design in via San Francesco da Paola, 17.  L’evento inizierà alle ore 14:30 e sarà completamente gratuito, ma i posti sono limitati, quindi affrettati!

ESTATE 2023: ECCO QUALCHE CONSIGLIO SULLA CYBERSECURITY PER LE TUE VACANZE

Autore: D'Agostino Rocco 31 lug, 2023
È ora di partire, prima però assicurati di essere al sicuro con i nostri consigli
Kevin Mitnick

Kevin Mitnick - "Condor" 6 agosto 1963 - 16 luglio 2023

Autore: D'Agostino Rocco 21 lug, 2023
Kevin Mitnick è stato uno degli hacker più famosi nella storia di Internet, soprannominato "The Condor".
vpn

VPN (Virtual Private Network)

Autore: Raffaella Loprete 16 feb, 2022
Parlare di VPN ovvero, di Virtual Private Network , senza usare termini tecnici e fornendo indicazioni utili anche ai non addetti ai lavori, non è una cosa facile; spesso questa definizione è utilizzata per descrivere cose leggermente diverse tra loro ed è quindi necessario fare alcune distinzioni tra le principali tipologie di VPN esistenti: VPN site to site : molte aziende hanno più sedi geografiche, ovviamente quando lavoriamo sul nostro pc vogliamo accedere indistintamente a dati e sistemi aziendali, senza dover pensare in quale sede geografica si trovano. Questo avviene spesso grazie alle VPN site to site, l’azienda installa degli apparati (ad esempio firewall) in ogni sede, questi apparati collegano di fatto le due sedi utilizzando la rete internet, ma cifrando i dati che transitano cosicché nessun altro possa carpirne il significato. Significa quindi che i vostri dati passano da una rete di fatto pubblica, ma “virtualmente privata” perché sicura e cifrata. VPN aziendale : la VPN aziendale è quella che vi consente, ovunque voi siate, di raggiungere i sistemi della vostra azienda, l’unica cosa che vi serve è una connessione ad Internet, ad esempio la connessione domestica, un hotspot WiFi di un hotel o la connessione del vostro cellulare. Anche qui il principio è lo stesso, se aprite ad esempio la intranet aziendale da casa di fatto utilizzate la vostra connessione internet, per collegarvi su un server delle vostra azienda. Ovviamente la vostra azienda non vuole che determinate risorse siano pubblicate su internet e quindi accessibili a tutti, quindi vi fornisce un client VPN o una VPN clientless. Quando vi collegate in VPN il vostro traffico viene cifrato, dandovi un accesso sicuro alle risorse aziendali. VPN personali : negli ultimi anni sono comparsi sul mercato una serie di software VPN personali. Questi software di fatto cifrano tutto il traffico dal vostro dispositivo fino a dei server remoti per provider VPN. Queste soluzioni sono molto utili se ad esempio siete connessi a rete WiFi pubbliche, perché su quelle reti un cybercriminale potrebbe in maniera abbastanza facile catturare il vostro traffico non cifrato e rubarvi informazioni personali o altre informazioni trasferite durante la sessione di navigazione. Inoltre questi software possono esservi utili per bypassare restrizioni locali, ad esempio in Russia non è concesso accedere a Linkedin, per cui se doveste recarvi in vacanza a San Pietroburgo potreste usare un software VPN per far si che la vostra connessione “esca su internet” da un’altra nazione e quindi accedere al vostro profilo Linkedin senza difficoltà. Quando usare la VPN aziendale? Il mio consiglio è quello di utilizzare la VPN aziendale ogni qual volta si lavora da un luogo che non sia l’ufficio, non importa se state accedendo al CRM aziendale o se state discutendo con un collega riguardo ad un progetto usando un programma di messaggistica istantanea come ad esempio WhatsApp. In questo modo sarete certi che tutti i dati scambiati siano cifrati e protetti. Quando invece utilizzare una VPN personale? Ogni qual volta ti colleghi ad internet esponi un informazione molto importante, il tuo indirizzo IP. Puoi verificare il tuo IP pubblico attraverso diversi siti come ad esempio: https://www.whatismyip.com/ ; questa informazione, insieme ad altre come ad esempio i cookie, espone i tuoi dati personali e consente a di tracciare la tua navigazione, le tue preferenze ecc. I rischi legati alla navigazione aumentano quando vi collegate a reti WiFi pubbliche. Le stesse caratteristiche che rendono gli hotspot Wi-Fi gratuiti appetibili ai consumatori li rendono desiderabili anche agli hacker: si tratta della possibilità di stabilire una connessione di rete senza effettuare alcuna autenticazione. Questo offre agli hacker l’opportunità di accedere liberamente ai dispositivi non protetti connessi alla stessa rete.
wi fi pubblico

I rischi del Wi Fi Pubblico per le nostre risorse informative

Autore: Raffaella Loprete 16 feb, 2022
Molti professionisti svolgono le loro mansioni anche fuori dall’ufficio: trasferte di lavoro, appuntamenti con clienti o altro e spesso capita di doversi collegare ad internet per inviare un’email urgente o consultare un documento importante. Negli ultimi anni, i punti di accesso pubblici e gratuiti, si sono diffusi enormemente: centri commerciali, aeroporti, alberghi e ristoranti offrono questo tipo di servizio ed è innegabile la comodità e la tentazione di sfruttare gratuitamente la connessione. Tuttavia questa grande diffusione e il largo utilizzo che se ne fa, hanno dato un’ulteriore chance ai criminali informatici per violare i nostri dati e la nostra privacy. I rischi delle connessioni Wi-Fi, se non adeguatamente protette, sono tutt’altro che trascurabili e le tecniche di hacking note come Man in the Middle (MITM), mettono in grave pericolo le nostre risorse informative. Cerchiamo di capire qualcosa di più su queste tecniche e come mitigare il rischio di furto di dati: Spoofing: si tratta di un tecnica attraverso la quale l’attaccante crea una rete Wi-Fi con un SSID identico a quello della rete pubblica esistente, ad esempio in un centro commerciale, e attende che qualcuno caschi nel suo tranello e si colleghi al suo dispositivo invece che a quello autentico. Una volta attivata la connessione, il traffico dati dell’utente passerà attraverso il dispositivo dell’attaccante che farà da relay in maniera del tutto trasparente Sniffing: questa tecnica è una conseguenza dello spoofing e consente all’attaccante di avere sotto controllo tutto il traffico dell’ignaro utente che si è collegato al suo dispositivo. Sniffando il traffico, l’attaccante è in grado di scoprire abitudini di navigazione, informazioni personali, cookie di sessione, credenziali di accesso ai servizi online, con tutti i rischi che ne conseguono. Uno scenario del genere rende molto semplice per l’attaccante, far scaricare all’utente un malware sul suo dispositivo che potrebbe aprire una backdoor per un futuro attacco all’interno della rete aziendale una volta rientrato in ufficio. Questo tipo di attacchi non richiedono particolari competenze tecniche o elevati investimenti economici. Un dispositivo alla portata di tutti è il Wi-Fi Pineapple, nato come strumento utile per effettuare penetration test nelle reti Wi-Fi, viene venduto a 150 dollari e include molte funzionalità I rischi per la sicurezza legati alle reti Wi-Fi gratuite non sono da sottovalutare considerando altresì che i nostri dispositivi mobili si connettono automaticamente alle reti Wi-Fi aperte. Tuttavia esistono delle precauzioni per evitare di essere un facile bersaglio e difendere la confidenzialità delle informazioni che trattiamo, soprattutto per quanto riguarda i dati aziendali: Se è necessario collegarsi alla rete aziendale tramite un hotspot Wi-Fi pubblico è fondamentale utilizzare una connessione VPN (Virtual Private Network), i dati in questo modo vengono cifrati e trasmessi in sicurezza Se non la vostra azienda, malauguratamente, non rendesse disponibile una connessione VPN, Utilizzate, almeno per la navigazione internet, il plugin HTTPS Everywhere , che garantisce, quando disponibile, la connessione cifrata del traffico web. Disattivare la modalità Wi-Fi quando non si ha necessità di collegarsi a internet , lo so è difficile e la tentazione è sempre dietro l’angolo, ma il tuo dispositivo con questa modalità attiva continua a cercare le reti a cui si è connesso in passato, fornendo di fatto, un’arma formidabile ad un attaccante che volesse attirarvi sulla sua rete per sniffare il vostro traffico. Disabilitare, sul proprio dispositivo, l’opzione per collegarsi automaticamente alle reti Wi-Fi aperte Avere maggiore consapevolezza dei potenziali pericoli della rete, a tale scopo, la nostra piattaforma CyberBrain Awareness , fornisce preziosi consigli per incrementare le competenze personali in termini di cybersecurity e fornisce un eccellente supporto ai non addetti ai lavori per imparare e riconoscere e difendersi dagli attacchi informatici.
furto delle credenziali

Shoulder Surfing

Autore: Raffaella Loprete 16 feb, 2022
Lavorare in luoghi pubblici, come aeroporti, ristoranti e bar, ma anche grandi uffici e locali dedicati allo smart working presenta una serie di rischi, e richiede di adattare alcune misure per prevenire furti di dati o identità, compromissione del dispositivo e delle credenziali e altro . Uno di questi rischi è rappresentato da quello che in inglese viene definito “shoulder-surfing”, letteralmente “fare surf sulle spalle”, una tecnica di ingegneria sociale usata per ottenere informazioni come codici PIN, password ed altri dati confidenziali osservando la vittima standole alle spalle. Questa tecnica non richiede nessuna conoscenza tecnica, si attua semplicemente sbirciando chi fa operazioni come inserire una password, un pin in uno sportello bancomat, il codice per la chiusura del lucchetto dell’armadietto della palestra, o la password per accedere ad un’area riservata tramite codice su tastierino numerico. Si tratta di una delle tecniche di social engineering più antiche, ma non per questo meno efficaci, potremmo citare diversi esempi di attacchi che hanno sfruttato questa tecnica con successo. Un caso molto interessante è descritto nel libro “l’arte dell’inganno” di Kevin Mitnick , un programmatore, phreaker, cracker e imprenditore statunitense, che si è distinto per le sue notevoli capacità nel social engineering, avendo eseguito alcune tra le più ardite incursioni nei computer del governo degli Stati Uniti. Nel libro, racconta del suo personaggio, Eric, che proprio partendo da tecniche di shoulder-surfing, è riuscito attraverso una serie di passaggi, ad ottenere accesso alla rete dell’equivalente americano della motorizzazione civile, e per diversi mesi a rubare dati su patenti di guida, dati che rivendeva traendo ovviamente ingenti profitti, e facendo finire spesso nei guai persone innocenti. Oltre al classico attacco dove qualcuno sbircia il vostro monitor, o tastiera, esistono una serie di evoluzioni tecnologie che prevedono l’utilizzo di dispositivi come microfoni, nano-amplificatori, microcamere e altri oggetti, per altro spesso reperibili su internet a costi molto contenuti. Ci è chiaro con quanta facilità un ingegnere sociale, anche meno esperto, può acquisire informazioni fondamentali per la sicurezza dei sistemi, come possiamo difenderci dallo shoulder surfing? Quando inserite credenziali come password, codici, pin ecc, proteggete sempre la tastiera in modo che non sia visibile da persone e telecamere intorno a voi. Mentre inserite password o credenziali non pronunciatele mai a voce . Se lavorate in luoghi pubblici installate sul vostro dispositivo una protezione per oscurare la visibilità del display . Non scrivete ma le password su biglietti o appunti , consultare questi appunti in luoghi pubblici, ad esempio per inserire un pin di accesso, aumenta la vostra superficie di attacco. Quando disponibile, utilizzate sempre autenticazione a più fattori , in modo che la compromissione di un singolo fattore, come ad esempio un codice PIN, non comprometta in automatico il vostro account. Utilizzate sempre password e pin diversi per ogni servizio . Spesso i criminali utilizzano le credenziali compromesse di un singolo account, per tentare di accedere anche ad altri account in vostro possesso. Per esempio, un criminale potrebbe vedervi digitare la password per accedere ad un servizio web, e tentare di utilizzare quella stessa password per il vostro account aziendale, o del portale di home banking. Cambiate spesso le credenziali.
Altri post
Share by: