In Romania la sicurezza informatica rappresenta un aspetto fondamentale della sicurezza, nel cui ambito è garantito il quadro normativo per la realizzazione della cooperazione e dell’integrazione bilaterale con i requisiti internazionali. La sicurezza informatica garantisce uno scambio rapido ed efficiente di informazioni tra le autorità competenti che sono responsabili della lotta all’uso delle tecnologie dell’informazione e della comunicazione a fini criminali o terroristici. Le tecnologie dell’informazione si sono diffuse in tutti i settori della vita reale, come quello sociale, culturale ed economico.

La rapida transizione in seguito alla grande evoluzione di una società industriale verso una società dell’informazione ha generato importanti trasformazioni nella società. La comunicazione nell’era dell’informazione e l’accesso ai dati attraverso una rete offrono notevoli vantaggi a tutti gli individui, poiché l’evoluzione e la conoscenza della tecnologia contribuisce all’evoluzione della società, facilita la produttività e migliora la qualità della vita.

Nell’ultimo decennio si sono verificati numerosi attacchi informatici, sia in Europa che a livello nazionale. L’impatto negativo sulle imprese/istituzioni causato dalle minacce informatiche si riferisce ad esempio al furto di dati e informazioni personali, al furto della proprietà intellettuale. A questo proposito, la sicurezza delle informazioni rappresenta una risorsa importante quando si tratta di eliminare le vulnerabilità, i rischi e le minacce nel campo del cyber intelligence e di ridurre i rischi a livello organizzativo.
Le persone sono costantemente esposte a minacce informatiche online, sia che svolgano il loro lavoro quotidiano in ufficio sia che trascorrano del tempo a casa con la famiglia. Spesso la consapevolezza del pericolo a cui sono esposti i cittadini è minima e il comportamento adottato non è sufficiente per i danni causati da attacchi così complessi. Anche se in Romania, sia sul web che sui vari mass-media, vengono pubblicati numerosi articoli e rapporti che fanno riferimento a incidenti di sicurezza e al loro impatto sulla società, i singoli o le organizzazioni non adottano le misure più rapide e appropriate per eliminare o prevenire il pericolo (chiara mancanza di cultura informatica).

Il social engineering rappresenta l’arte di manipolare le azioni delle persone al fine di far rivelare o rubare varie tipi di informazioni. Il termine è comunemente applicato alla frode allo scopo di raccogliere informazioni, ai furti di identità o all’accesso ai sistemi informatici. Gli attacchi basati sul social engineering includono l’interazione interpersonale che comporta una comunicazione diretta (ad esempio di persona o per telefono) o un’interazione mediata da mezzi elettronici (vari mezzi elettronici, e-mail, social network e Internet).
Inoltre, il social engineering è l’atto di ottenere l’accesso non autorizzato a un sistema informatico o a informazioni sensibili, come le password, utilizzando la fiducia e rafforzando i rapporti con coloro che hanno accesso a tali informazioni.
Il social engineering può essere definito come un modo efficiente e prolifico per accedere a sistemi sicuri e informazioni sensibili, ma richiede anche un minimo di conoscenze tecniche. Gli attacchi di social engineering vanno dalle e-mail di phishing agli attacchi più complessi che utilizzano una gamma sofisticate di tecniche di social engineering. Il social engineering agisce manipolando i normali comportamenti umani e, in quanto tale, le soluzioni tecniche per garantire la protezione sono limitate. Di conseguenza, la migliore difesa è quella far conoscere agli utenti le tecniche utilizzate dagli ingegneri sociali e di aumentare la consapevolezza di come sia le persone che i sistemi informatici possano essere manipolati per creare un falso livello di fiducia.

Questo può essere integrato da un approccio organizzativo verso la sicurezza che, promuove la condivisione dei problemi, applica le rego di sicurezza delle informazioni e supporta gli utenti nell’attenersi ad esse. Ciò nonostante, un aggressore determinato con sufficiente abilità, risorse e, infine, fortuna, sarà in grado di impossessarsi delle informazioni che sta cercando.
Gli attacchi social engineering si realizzano rafforzando il rapporto con la/e vittima/e utilizzando tecniche e strumenti psicologici, soprattutto per quanto riguarda il controllo delle emozioni. Questi attacchi sono i più pericolosi ed efficaci perché coinvolgono le interazioni umane. Esempi di tali attacchi sono il baiting e lo spearphishing.
Gli attacchi di tipo tecnologico vengono eseguiti tramite Internet e i social network, siti web, servizi online per raccogliere le informazioni desiderate, quali password, dati delle carte di credito e risposte a domande di sicurezza.

Gli attacchi fisici si riferiscono ad azioni fisiche compiute dall’aggressore per raccogliere informazioni sulla vittima. Un esempio di tale attacco è la ricerca fisica di documenti.

Gli attacchi di ingegneria sociale possono combinare vari aspetti discussi in precedenza, come ad esempio quello umano, tecnico, sociale e fisico. Esempi di attacchi di ingegneria sociale sono: “phishing, impersonation, shoulder surfing, dumpster diving, furto di documenti importanti, diversion theft, software falso, baiting, quid pro quo, pretext, tailgating, finestre di Pop-Up, robocalls, ransomware, social engineering online, reverse social engineering e social engineering telefonico”.

Gli attacchi possono anche essere classificati in due categorie a seconda che l’entità coinvolta sia l’uomo o il software.
Possono anche essere classificati in tre categorie in base a come avviene l’attacco: attacchi sociali, tecnici e fisici. Analizzando le diverse classificazioni esistenti
degli attacchi di social engineering, possiamo anche classificare questi attacchi in due categorie principali: diretti e indiretti.

Gli attacchi classificati nella prima categoria si basano su un contatto diretto tra l’aggressore e la vittima per effettuare l’attacco. E si riferiscono ad
attacchi effettuati attraverso il contatto fisico, il contatto visivo o le interazioni vocali. Possono anche richiedere la presenza fisica dell’aggressore nell’area di lavoro della vittima per effettuare l’aggressione. Esempi di tali attacchi sono: “accesso fisico, shoulder surfing, dumpster diving, social engineering telefonico, pretexting, impersonation e furto”. Gli attacchi classificati nella categoria indiretta non richiedono la presenza dell’aggressore per sferrare un attacco. L’attacco può essere lanciato a distanza tramite malware veicolato tramite allegati o messaggi SMS.

Esempi di attacchi sono: phishing, software contraffatto, finestre PopUp, ransomware, SMSishing, social engineering online.
L’ultimo decennio ha dimostrato che il cyberspazio ha acquisito un’importante dimensione strategica, per quegli Stati che gli attribuiscono un valore almeno pari a allo spazio aereo, marittimo e terrestre. La messa in sicurezza del cyberspazio è necessaria per proteggere gli interessi nazionali.

A questo proposito, sia a livello europeo che nazionale, gli attacchi informatici sono un elemento comune in operazioni militari complesse e in conflitti internazionali. Nel XXI secolo, un secolo di tecnologia e di informazione, gli attacchi effettuati nello spazio virtuale sono diventati molto più diversificati, subendo un’amplificazione a livello di attori, metodi e tecniche utilizzate.

L’impatto delle tecniche di ingegneria sociale

Oggi la nostra società è considerata una società dell’informazione, l’utilizzo dell’informazione è una delle attività più importanti. L’informazione è considerata come una risorsa essenziale per ogni individuo. In questo senso, l’informazione ha un valore importante per la società ed è imperativo proteggersi per non cadere nelle mani dei nemici. In molti casi, l’informazione è la base da cui si costruiscono le strategie di successo.

La complessità dei metodi e degli attacchi utilizzati dagli hacker ha aumentato l’attenzione delle enti di sicurezza in termini di protezione dello spazio virtuale. La Romania e gli Stati dell’Unione Europea, così come altri paesi, sono diventati molto più dipendenti sia dai componenti della rete di infrastrutture critiche che dalla tecnologia dell’informazione. Questi temi sono importanti per difendere gli strumenti digitali strategici.
La protezione del cyberspazio è vitale in quanto garantisce il funzionamento delle istituzioni governative, delle infrastrutture critiche e del commercio. È noto che lo spazio virtuale oltrepassa i confini geografici e gran parte di esso è al di fuori del controllo e dell’influenza di uno Stato.
I cyber attacchi e la sicurezza informatica sono presenti in tutti i settori sopra presentati, poiché la tecnologia è avanzata e ogni attacco lanciato per danneggiare gli interessi di uno Stato è oggi chiamata guerra ibrida che in alcune situazioni può essere identificata come guerra informatica.
Nel campo della cyber intelligence, gli aggressori informatici utilizzano l’ingegneria sociale e le tecniche associate ad essa per ottenere informazioni
preziose sulle persone e sulle aziende in cui operano. Gli hacker adottano comportamenti specifici delle tecniche di ingegneria sociale che mirano alla manipolazione sia umana che informativa per raggiungere i loro obiettivi. All’interno del ciclo dell’ingegneria sociale, sia teoricamente che praticamente, l’anello più debole della catena della sicurezza è il fattore umano.
In uno studio condotto dall’Ufficio federale per la sicurezza dell’informazione, è emerso che un impiegato su sei ha la tendenza a interagire con un’e-mail di phishing o di spear-phishing e a rivelare così informazioni sensibili sull’attività dell’azienda. Utilizzando tecniche di social engineering, con l’aiuto di strumenti di raccolta di informazioni, gli aggressori possono causare danni notevoli.

È stato dimostrato che il comportamento umano è sempre stato facile da plasmare e influenzare attraverso la tecnologia e lo spazio virtuale ha fatto sì che gli individui fossero più interessati all’avventura. Anche se per la psicologia, il pensiero degli individui è stato addestrato ad adattarsi e ad evolversi nel mondo reale, persiste ancora l’illusione che l’ambiente online sia più sicuro rispetto alla vita reale. La capacità di nascondere espressioni non verbali come il linguaggio del corpo e le espressioni facciali offre l’opportunità agli individui di sentirsi anonimi nell’ambiente virtuale.
La presenza ininterrotta nell’ambiente online stimola negativamente la capacità di giudizio e aumenta il livello di impulsività. «La disinibizione è facilitata dalle condizioni ambientali del cyberspazio – mancanza di autorità percepita, anonimato, senso di distanza o movimento fisico.
A livello di cyberpsicologia, questo tipo di manifestazione comportamentale nell’ambiente online è chiamato «effetto di disinibizione online», concettualizzato da John Suler. L’evoluzione tecnologica, tuttavia, cambia il comportamento umano, non sempre in senso positivo ed evolutivo. Le vulnerabilità e le tendenze nell’ambiente reale possono acquisire una valenza critica nell’ambiente virtuale, con un carattere pericoloso e aggressivo.

Per quanto riguarda l’impatto delle tecniche applicate, si può parlare di un impatto distruttivo nella misura in cui l’obiettivo perseguito è quello di ottenere informazioni sensibili. A seconda del tipo di temperamento e della personalità del bersaglio, l’aggressore utilizza i suoi strumenti di lavoro e applica una tecnica appropriata in relazione alle possibilità di successo. Poiché gli individui hanno fiducia nell’ambiente virtuale e lo trovano un posto molto più sicuro e dove si è liberi di esprimere le proprie opinioni e idee e di adottare comportamenti non autentici, il grado di impatto delle
tecniche di ingegneria sociale aumenta notevolmente.
La tecnologia e l’ambiente virtuale accessibile a tutte le categorie di individui sociali, ha un alto potenziale di aggravare un disturbo non realistico perché i disturbi mentali di un individuo si intrecciano armoniosamente con l’attendibilità e la complessità delle informazioni disponibili nell’ambiente virtuale.
Oggi, l’ingegneria sociale è diventata una delle tecniche più utilizzate per sfruttare la vulnerabilità delle persone.
Conosciuta come l’arte dell’inganno, l’ingegneria sociale è direttamente legata al successo delle tecniche utilizzate per promuovere attacchi virtuali mirati. Questi attacchi mirano a sfruttare l’anello più debole di una struttura di sicurezza: l’uomo. Lo scopo principale è quello di mantenere i contatti con le persone, di compromettere la struttura di sicurezza dell’azienda, provocando perdite di vario tipo.
Le minacce informatiche applicate sotto forma di tecniche di ingegneria sociale sono diventate onnipresenti e le organizzazioni di tutto il mondo sono alla ricerca di modi per ridurre questo tipo di minaccia.
Molti di questi rischi provocati dal social engineering possono essere identificati attraverso un’ampia gamma di tecniche di sicurezza informatica, progettate per proteggere i sistemi informativi delle organizzazioni.
Le tecniche di ingegneria sociale – che implicano manipolazione, influenza o inganno, utilizzate per accedere alle informazioni o ai sistemi – sono in aumento.
Lo sfruttamento delle vulnerabilità degli individui è la base per il successo delle tecniche di ingegneria sociale e si ottiene attraverso una combinazione di interazioni umane ed emozioni.
I cambiamenti prodotti nella società, sia nella sfera del pensiero individuale sia in campo tecnologico, si sono manifestati così rapidamente che è diventato
molto più difficile rendersi conto della differenza tra le tendenze passeggere e gli aspetti comportamentali in continua evoluzione. Le azioni svolte nell’ambiente online possono essere compiute nella vita reale, e questo aspetto mette in evidenza il fatto che l’ambiente virtuale influenza sostanzialmente il mondo reale e viceversa.
La possibilità di identificare e accedere all’impronta digitale informatica, soprattutto per quanto riguarda l’utilizzo dei dati nelle aziende informatiche, richiede
l’acquisizione di strumenti tecnici in grado di garantire la sicurezza. Inoltre, in questo contesto, è necessario adottare un’educazione preventiva, sia tra i diretti destinatari dell’influenza dei media e delle imprese compromesse, sia tra tutti i cittadini.

L’aumento e la diversificazione degli attacchi informatici attraverso l’impiego di complesse tecniche di ingegneria sociale comporta l’adozione di una strategia che mira a sviluppare una sicurezza culturale, soprattutto nello spazio informatico. La capacità di utilizzare i social network e le piattaforme per diffondere messaggi personalizzati e su misura, anche per categorie di pubblico marginali che, purtroppo, potrebbero essere sedotte e incantate da contenuti devianti e diversificati con elementi violenti che cercano di incitare comportamenti e azioni antisociali o aggressive (compresa l’autoaggressione) riflettono un’esigenza ancora più forte di individuare regole e In questo contesto, è necessario realizzare e sviluppare un insieme di leggi nazionali e di accordi internazionali che possano essere una base per lo sviluppo corretto ed etico di questo campo.

La crescente migrazione verso l’ambiente virtuale ha fatto emergere vulnerabilità sia nel fattore umano che ne campo tecnologico. È importante che la società acquisisca un patrimonio di conoscenze sulla cultura della sicurezza informatica. Le risposte a tutti gli aspetti riguardanti l’interazione umana con il cyberspazio sono offerte da una nuova disciplina – la cyberpsicologia.

 

Bibliografia

1. Anshul Kumar, Mansi Chaudhary, Nagresh Kumar, European Journal of Advances in Engineering and Technology – Social Engineering Threats and Awareness: A Survey, 2015, http://www.ejaet.com/PDF/2-11/ EJAET-2-11-15-19.pdf.
2. Andreea-Maria Târziu, Anastasia Ciuperca, Protezione e sicurezza delle informazioni a livello delle autorità pubbliche nazionali della Romania, 2015, https://mpra.ub.uni-muenchen.de/ 77711/1/ MPRA_paper_77711.pdf.
3. ResearchGate, CANDY: A Social Engineering Attack to Leak Information da Infotainment System, iunie 2018, https://www.researchgate.net/publication/326640482_CANDY_A_Social_Engineering_Attack_to_ Leak_Information_from_Infotain men t_System.
4. Romica Cernat, Razoiul cibernetic %i terorismul cibernetic-Trasaturi%iraspunsuri la aceste amenin&ari, Nr. 3, 2020, http://gmr.mapn.ro/app/webroot/fileslib/upload/files/arhiva%20GMR/2020%20gmr/3%20202020%20gmr/CERNAT.pdf.
5. Medialine, Instrumente de constientizare a Securitatii impotriva Ingineriei Sociale! https:// www.medialine.ag/ro/instrumente-deconstientizare-a-securitatii-impotriva- ingineriei-sociale/.
6. Mary Aiken, L’effetto cibernetico: Psihologia comportamentului uman în mediul online, 2016, Editura Niculescu, https://books.google.ro/books?id=npPSDwAAQBAJ&pg=PA286&lpg=PA286&dq=amenintarile+cibernetice+inginerie+sociala&source=bl&ots=WzACqXCZld=WzACqXCZld&sig=ACfU3U0YWn_FiIFiE4Th6PcW0Z8UBiHDtg& hl=ro&sa=X&ved=2ahUKEwjS27y7w6zqAhVj- SoKHcyuAPc4ChDoATADegQIChAB#v=onepage&q&f=falso.
7. Koceilah Rekouche, Early Phishing, 2011, http://arxiv.org/ftp/arxiv/papers/ 1106/1106.4692.pdf
8. Oscar Celestino Angelo Abendan II, Watering Hole 101, 13 febbraio 2013, https:// www.trendmicro.com/vinfo/us/threat-encyclopedia/webattack/137/watering-hole-101.
9. Imperva, Social Engineering, https://www.imperva.com/learn/application-security/social- engineering-attack/.
10. Mishra Sandhya %i Depriya Soni, SMS Phishing and Mitigation Approaches, 2019, https:// sci- hub.tw/10.1109/IC3.2019.8844920.
11. Gunter Ollman, The vishing guide, mai 2007, http://www.infosecwriters.com/ text_resources/ pdf/IBM_ISS_vishing_guide_GOllmann.pdf.

Autore: Natalia A.

Natalia A.

Twitter
Visit Us
LinkedIn
Share
YOUTUBE