mercoledì 7 febbraio 2018

OTTENERE INFORMAZIONI RISERVATE: ESEMPIO PRATICO Nr.3





by Andrea Frighi

Spesso le nuove assunte, che ancora non conoscono a fondo le dinamiche aziendali, sono oggetto di attacco da parte di chi vuole ottenere informazioni riservate.

Le nuove leve cercano di mostrarsi disponibili con tutti per fare bella figura in azienda, i truffatori lo sanno e purtroppo giocano sulla loro candida disponibilità per ottenere ciò che vogliono.

Se assumete una nuova leva, addestratela a dovere a questo genere di attacchi perché i danni potrebbero essere devastanti.
La storia sotto illustrerà quanto detto fino ad ora.
Erika Pozzi è la nuova contabile di un famoso studio legale, con sedi in tutto il mondo. La donna è impiegata nella sede di Milano ed è soddisfatta del suo nuovo lavoro. La paga è fin troppo alta in relazione al suo modesto stile di vita e i compiti sono più o meno quelli che svolgeva in un ufficio precedente.
In ditta sono tutti cordiali e simpatici e la telefonata che riceve non fa altro che confermare questa impressione di cordialità.
E’ il solito Antonio, un truffatore intenzionato ad ottenere informazioni riservate sullo studio in questione.

Erika: “Studio associato “Morini & Partners”, contabilità, sono Erika”.
Antonio: “Buon giorno Erika, sono Matteo Abbondi, della sicurezza informazioni, so che sei nuova, ti chiamo per aggiornarti sulle procedure di sicurezza”.
Erika: “Ah non sapevo nemmeno che lo studio avesse un settore del genere”.
Antonio: “Eh eh, gli avvocati fanno le cose in grande”.
Erika: “Ah ah, dica”.
Antonio: “Allora, noi siamo incaricati di illustrare le principali regole sulla sicurezza delle informazioni all’interno dello studio, in particolare quelle informatiche. Si tratta di un grande studio di avvocati, perciò la protezione delle informazioni riservate è la prima cosa. Innanzitutto non viene permesso di installare sul proprio pc fisso programmi o software che vengono da fuori, potrebbero essere dei virus e inoltre non vogliamo responsabilità per programmi senza licenza”.
Erika: “Certo”.
Antonio: “Parliamo invece della politica sulle e-mail. Qual è la tua mail intanto?”
Erika: “La mia è erika-92@studiomp.com”
Antonio: “Ottimo, lo user name è Erika?”
Erika: “No, lo user è erikapoz”.
Antonio: “Ok. Allora innanzitutto raccomandiamo di non aprire mai allegati da indirizzi di posta sconosciuti, potrebbero essere dei virus, quindi assicurati sempre che il mittente sia chi dice di essere, e che tu lo conosca. Inoltre hai mai sentito parlare delle mail di phishing?”.
Erika: “Sì, ho sentito qualcosa!”.
Antonio: “Ecco. Sono delle mail in cui il mittente possiede un indirizzo simile a quello di qualche grande società, tipo Poste Italiane oppure simile a qualche banca e invia una mail nella quale solitamente si chiede di aprire un allegato oppure di inserire dati personali. Loro giocano sulla paura, scrivono qualcosa del tipo <>. Comunque le riconosci immediatamente perché il più delle volte sono scritte in cattivo italiano. Ti raccomando di non aprire mai nessun allegato di quelle mail, e nemmeno inserire dati personali”.
Erika: “Certo, ok”.
Antonio: “Ottimo. Ultima cosa: qui siamo soliti cambiare le password ogni tre mesi, tu quando l’hai cambiata l’ultima volta?”.
Erika: “Mah sono qui solo da due settimane, ho ancora quella iniziale”.
Antonio: “Ok, puoi attendere la scadenza dei 90 giorni per cambiarla. Però vogliamo essere sicuri che il personale non utilizzi password facili da usare, tu ne utilizzi una di lettere e numeri?”.
Erika: “In realtà no”.
Antonio: “Caspita, allora dobbiamo provvedere, quale usi al momento?”.
Erika: “Claudia, il nome della mia sorellina”.
Antonio: “Ok, facciamo così, puoi continuare ad utilizzare l’attuale come prima parte, ma aggiungi alla fine il numero del mese corrente. E ogni volta che la cambierai farai allo stesso modo”.
Erika: “Ok, per cui visto che siamo in aprile faccio <>?”.
Antonio: “Ottimo! Sai come cambiarla?”.
Erika: “Sì sì lo so”.
Antonio: “Ok. Un’ultimissima cosa. C’è un antivirus sul tuo pc, perciò è importantissimo tenerlo aggiornato. Non disattivare mai l’aggiornamento automatico mi raccomando”.
Erika: “No no, ricevuto”.
Antonio: “Bene, ti ringrazio per avermi ascoltato e ti auguro un buon proseguimento in azienda”.
Erika: “Figurati, grazie mille a te. Buon lavoro”.


Con una telefonata di dieci minuti Antonio ha ottenuto le credenziali d’accesso all’area riservata di un grosso studio di avvocati, e potrà navigare indisturbato comodamente dalla poltrona di casa sua.

Sitografia:

Nessun commento:

Posta un commento