Tailgating e Piggybacking sono due pratiche che rientrano sempre nella sfera del social engineering che sfruttano cioè il fattore umano per violare aree riservate al personale autorizzato con il conseguente rischio per la sicurezza, sia fisica che dei sistemi informativi.
Scopriamo di seguito di cosa si parla esattamente per poi capire come tali scenari siano applicabili sia alla sicurezza fisica che a quella informatica. Letteralmente esiste una sottile differenza tra il significato di Piggybacking e Tailgating.
Il Tailgating rappresenta la situazione in cui un individuo senza autorizzazione all’accesso segue da vicino un’altra persona autorizzata in un’area riservata senza dare nell’occhio, magari approfittando del momento in cui la persona autorizzata apre con il suo badge la porta e prima questa si chiuda ne approfitta per intrufolarsi all’interno.
Il Piggybacking invece rappresenta quella situazione in cui qualcuno effettua un accesso ad un area riservata con il permesso, nella maggior parte dei casi ottenuto con l’inganno, di una persona autorizzata.
Ricorderete tutti il famoso film con Leonardo Di Caprio “Prova a prendermi” in cui interpretava il famoso truffatore Frank Abagnale.
Questo scaltro personaggio entrava in aree riservate come aeroporti e ospedali fingendo di essere un’altra persona o camuffandosi da pilota di aerei.. tramite l’inganno e l’astuzia riusciva nel suo intento, causando un danno economico alle compagnie che truffava. Al di là della simpatia che potrebbe suscitare il personaggio del film, il tailgating è un serio problema per le aziende e chi lo compie agisce in violazione della legge, molto spesso con intenti criminali.
Nel caso del PIggyBacking, chi vuole ottenere un accesso senza autorizzazione, potrebbe ad esempio presentarsi all’ingresso di un’organizzazione, ben vestito, in giacca e cravatta spacciandosi per un cliente e di fatto eludendo i controlli anche del personale addetto alla sicurezza.
Oppure potrebbe presentarsi travestito da corriere o fattorino, magari trasportando un pacco ingombrante chiedendo la cortesia a qualcuno del personale, in quel momento all’esterno, di aprire la porta d’ingresso protetta da una serratura funzionante con badge aziendale.
In molti casi, comprovati dall’esperienza reale, accade che la gentilezza o l’ingenuità facciano ottenere a questi individui l’accesso ad aree riservate, con il conseguente rischio per la sicurezza delle persone e delle proprietà e dei dati riservati aziendali.
Chi effettua un tentativo di accesso non autorizzato è a conoscenza di queste “debolezze” e le sfrutta per ottenere ciò che vuole.
Lascereste entrare qualcuno che non conoscete all’interno di casa vostra?
Anche se ve lo chiedesse gentilmente e non mostrasse cattive intenzioni?
Probabilmente ci pensereste un po’ su prima di farlo.
Sono remore corrette perché in gioco c’è la vostra sicurezza e quella dei vostri cari.
Anche nel contesto lavorativo è richiesto lo stesso atteggiamento prudente e consapevole, quindi se notate una persona sconosciuta all’interno della vostra azienda, magari sprovvista del badge, è necessario seguire alcune procedure:
- la maggior parte delle aziende ha delle policy di sicurezza relative all’accesso negli spazi riservati, se non le conosci, chiedi al personale preposto e mettile in pratica
- non permettere a qualcuno che non riconosci come collega di entrare insieme a te (tailgating) mentre effettui l’accesso ad aree riservate al personale aziendale, se la porta ha un dispositivo di chiusura lascia che sia lui, se è autorizzato, ad aprirla
- se noti qualcuno che non conosci all’interno del tuo ufficio, controlla se dispone di un badge visitatore
- se noti qualcuno di sospetto ma non te la senti di affrontarlo direttamente chiedendogli il perché della sua presenza, informa subito il personale della sicurezza, sono lì esattamente per quelle eventualità
Per quanto riguarda gli spazi di coworking, la situazione potrebbe essere un po’ più complicata…
In queste aree lavorano numerosi dipendenti di aziende diverse con un alto turnover delle persone, che spesso non si conoscono tra di loro, ciò potrebbe essere sfruttato dall’intruso in diversi modi per accedere all’interno di aree riservate
il piggybacking in ambito informatico
Purtroppo sono numerose le violazioni dei sistemi informativi causati da disattenzioni o ingenuità dei dipendenti: schermi non bloccati da password, credenziali di accesso scritte su un post-it attaccato sul monitor, ecc.
Tutti questi comportamenti non passeranno sicuramente inosservati a chi si introduce all’interno di aree riservate, senza autorizzazione e con scopi ben precisi.
Anche In questi casi è necessario seguire le policy di sicurezza aziendale:
- ricordarsi di bloccare il proprio laptop o desktop, di cui si è responsabili, se ci si allontana dalla postazione di lavoro e spegnerlo quando si giunge al termine della giornata
- proteggere l’accesso con una password forte e non condividerla con nessuno (nemmeno se ricevi una telefonata dal sedicente tecnico IT che ha bisogno della tua password per “fare cose” – Nessun tecnico te la chiederebbe mai!)
- mantenere la propria postazione in ordine senza dimenticare o lasciare incustoditi documenti aziendali cartacei e non, preda ambita dei famigerati ingegneri sociali
- tenere tutti i documenti riservati al sicuro in scomparti chiusi a chiave e distruggere i documenti con dispositivi appropriati quando non servono più
Queste e altre importanti informazioni sono a disposizione nella nostra piattaforma di training CyberBrain Awareness, che permette ai dipendenti di incrementare le loro competenze per resistere agli attacchi informatici e alle tecniche di social engineering come quelle indicate in questo articolo.



