|
Nell'ormai sempre più crescente lista degli incidenti informatici, spunta il caso di un impiegato del call center indiano della banca HSBC, il quale è stato accusato di aver rubato all'istituto bancario circa mezzo milione di dollari. L'episodio è dovuto in primis ad un errore della banca nel verificare i dati dell'impiegato prima dell'assunzione. Una semplice chiamata al numero di telefono presente nella domanda di assunzione avrebbe rivelato le false informazioni fornite dall'impiegato. Oltre al numero di telefono fasullo, l' impostore ha anche fornito un falso indirizzo in modo da non essere rintracciabile. "Ma noi siamo protetti dagli hackers..". Lo siete davvero? ... Ciò che sta diventando più di una preoccupazione, ma che spesso è ignorata, è la minaccia rappresentata dagli impiegati poco professionali. Società ed aziende pongono una grossa attenzione sulla sicurezza nell'ottica degli attacchi provenienti dall'esterno, ma ignorano ampiamente la possibilità che un attacco possa provenire dall'interno della propria rete aziendale. Considerando il ritmo impressionante con il quale gli incidenti informatici colpiscono le aziende, (come il furto di dati, le frodi, bombe logiche, intercettazioni ), ora gli impiegati stanno diventando la minaccia principale dal quale difendersi. La mancanza di controlli sul background dei propri dipendenti e sugli applicativi gestionali interni fallati (due aspetti apparentemente non legati tra di loro), uniti alla fiducia incondizionata nella intranet aziendale, sono i maggiori responsabili di questi attacchi. Gli impiegati potrebbero mostrare il loro lato oscuro per diverse ragioni, ad esempio: per mancanza di riconoscimenti sul posto di lavoro, per difficoltà finanziarie, o solo per delle vendette personali. Attraverso una serie di controlli adeguati sulla selezione del personale è possibile ridurre al minimo questo tipo di attacchi. Il buonsenso unito ad un'attenta progettazione di tutte le aree che toccano l'infrastruttura IT, comprese quelle apparentemente non connesse all'IT, aiuteranno a prevenire la perdita di immagine della propria azienda. Come possiamo notare su Zone-H, il trend degli attacchi si sta spostando sulle web application, che sono il vettore principale tramite il quale è possibile guadagnare un accesso abusivo ad un sistema. La possibilità che le applicazioni aziendali interne siano il punto di partenza degli attacchi è un argomento che spesso viene ignorato. Mettendo in relazione ciò, con l'aspetto poco professionale degli impiegati, la probabilità di perdita dei propri assets aziendali cresce esponenzialmente. Spesso ho aggiunto la mia esperienza di penetration tester ai miei articoli, e questo non fa eccezione. Durante un recente audit, il target si era dimostrato molto sicuro agli attacchi esterni, fino a quando non ho avuto un guest account sull'applicazione web usata per la pianificazione delle attività. Questo mi ha permesso di poter testare l'integrità interna dell'infrastruttura aziendale (cosa spesso ignorata in questi tipi di test). L'applicazione era vulnerabile all'inserimento di Javascript dentro alcuni campi, che una volta visualizzati dagli altri utenti, permettevano l'esecuzione del codice inserito dall'attaccante. Ciò può portare a compromettere totalmente la propria infrastruttura, come la perdita di informazioni aziendali e tutto quello che comporta questo genere di falle. Le aziende dovrebbero ricordare non solo di verificare le informazioni degli impiegati, ma anche di testare le applicazioni interne durante gli audit di sicurezza, così come viene fatto per qualsiasi altro asset IT. Dato che non c'è una soluzione unica per fermare questo genere di attacchi, bisognerebbe porre la necessaria enfasi sugli aspetti di sicurezza riguardanti tutte le risorse della propria infrastruttura IT aziendale, sia esterne che interne. Se sei interessato a saperne di più sull'Ingegneria Sociale e nel proteggere la tua Azienda da questo genere di attacchi, puoi Contattarci attraverso l'apposito modulo.
Se hai apprezzato questo testo clicca:  |
