Cybersecurity education

Social hacking: ecco come difendersi dall’ingegneria sociale

Il social hacking è l’accesso a informazioni riservate attraverso l’inganno o la manipolazione psicologica: l’identikit dell’ingegnere sociale e come riconoscerlo, le fasi dell’attacco, le tecniche e i trucchi più diffusi anche online, gli strumenti di formazione del personale in azienda

Pubblicato il 01 Apr 2022

Ottavia Gruppillo

Managing Editor, Verduci Editore

Digital Emotion Regulation - social hacking

Il social hacking sfrutta la vulnerabilità del fattore umano: un utente inesperto può essere la vittima perfetta di un ingegnere sociale, che studia il comportamento individuale per acquisire informazioni utili ad avere accesso a dati sensibili. L’anello debole della catena è sempre l’uomo, che rende vano ogni tentativo di miglioramento e/o protezione dell’asset aziendale.

“Puoi investire milioni di dollari per il software, per l’hardware delle macchine e per dispositivi di sicurezza all’avanguardia, ma se c’è anche un solo dipendente dell’azienda che può essere manipolato con un attacco di ingegneria sociale, tutto il denaro investito sarà stato inutile”, sottolinea Kevin David Mitnick, l’hacker più famoso del mondo.

Non è possibile proteggere e controllare cose che non si conoscono: antivirus, firewall, dispositivi avanzati, policy aziendali avveniristiche sono sempre subordinati o controllati dall’essere umano.

Violazioni di dati, se la minaccia viene dall’interno: come limitare i danni

Secondo la nuova edizione del Rapporto Clusit 2021, gli attacchi gravi compiuti per finalità di “Cybercrime” sono aumentati del 21,1% e quelli riferibili a “Information Warfare” del 18,2%.

Il 25% degli attacchi riscontrati nel primo semestre è stato diretto verso l’Europa, a fronte del 7% nel 2020 e dell’11% nel 2019.

Le categorie principalmente colpite sono “Transportation/Storage” (+108,7%), “Professional, Scientific, Technical” (+85,2%) e “News & Multimedia” (+65,2%). Non mancano gli attacchi verso le categorie “Energy/Utilities” (+46,2%), “Government” (+39,2%), “Arts/Entertainment” (+36,8%) ed “Healthcare” (+18,8%).

Alcune aziende sono riuscite ad innalzare i propri livelli di protezione adottando strumenti come firewall o VPN, ma altre non sono riuscite a fornire ai loro dipendenti laptop aziendali. Molti lavoratori sono stati quindi obbligati a ricorrere a dispositivi personali e più vulnerabili. Il pc del dipendente è diventato l’endpoint. Il numero di attacchi indirizzati ai laptop personali è aumentato da 45.000 nel 2019 a ben 85.000 nel 2021.

Ecco quali sono le tecniche di social hacking più diffuse e come difendersi attraverso la formazione aziendale.

Social hacking: cos’è e da dove viene l’ingegneria sociale

L’ingegneria sociale viene definita come “l’arte dell’inganno, che esiste da tempo, anche quando non c’erano i computer.

È una forma di hacking in cui qualcuno usa la sua influenza per convincere qualcun altro a soddisfare le sue richieste, ricorrendo non solo all’inganno ma anche alla manipolazione psicologica.

Si possono spendere enormi somme di denaro in tecnologia, ma spesso questo è inefficace contro queste tecniche”.

Il social hacking non è unicamente associato al collegamento ad Internet: già alla fine degli anni ’50 esistevano i “pheraker” che rubavano informazioni vitali alle compagnie telefoniche americane e “giocavano” con le linee telefoniche come gli hacker moderni “giocano” con Internet.

Quando la compagnia telefonica statunitense AT&T – American Telephone and Telegraph Incorporated introdusse le chiamate dirette a lunga distanza completamente automatizzate, i pheraker intasarono la centrale attraverso dispositivi portatili capaci di generare toni acustici riconosciuti come messaggi di segnalazione da utenti remoti e in grado di stabilire i collegamenti desiderati.

Il phreaker divenne un vero e proprio hacker informatico, in grado di auto-costruire le più disparate apparecchiature che emulavano fedelmente i codici utilizzati e quindi continuavano a concedere l’accesso “libero” alle reti.

Con la diffusione dei BBS – Bulletin Board System, computer con un software che permetteva di connettersi a utenti esterni tramite la linea telefonica, il fenomeno assunse un ruolo ancor più pervasivo.

Per contattare uno specifico BBS occorreva effettuare una telefonata che raggiungesse la località in cui si trovava, attraverso connessioni point-to-point con i relativi costi di chiamata: i collegamenti più ambiti erano quelli internazionali o intercontinentali e la “caccia” di connessioni gratuite per accedere alle BBS più remote era un’attività abbastanza comune.

Verso la fine degli anni ’90, il phreaking vantava un buon numero di followers che con l’avvento di Internet si scambiavano informazioni sul funzionamento di centrali elettriche, cabine telefoniche e sui metodi migliori per “hackerarle”.

Il fenomeno del phreaking ha vissuto un periodo di “decadenza”, fino a scomparire completamente ed essere sostituito dall’ingegneria sociale.

Social hacking: come riconoscere un ingegnere sociale

L’ingegnere sociale è considerato dalla comunità come il più subdolo degli hacker: riesce ad ottenere quello che vuole chiedendolo.

Utilizza strumenti tecnico-informatici come crittografare i dati memorizzati sul disco della vittima per impedirle di accedere al sistema, o persino installare i Trojan ransomware (un tipo di cyberware progettato per estorcere denaro a una vittima).

È un abile truffatore che ha deciso di sfruttare i punti deboli dell’anello più vulnerabile, cioè gli esseri umani.

È estremamente curioso di ciò che è nascosto o addirittura proibito: il suo scopo principale è conoscere e scoprire, informare e divulgare.

Riconoscere un ingegnere sociale è quindi davvero difficile, perché potrebbe nascondersi dietro chiunque: potrebbe essere un semplice cliente o un esperto o, ancora, semplicemente il neoassunto.

Fermare e smascherare un ingegnere sociale è un compito impegnativo: la certezza assoluta della sua presenza si ha solo a compromissione avvenuta del sistema con relativa diffusione delle informazioni.

Per questo motivo, un ingegnere sociale potrebbe nascondersi dietro un abile oratore: non è necessariamente un guru o un esperto di informatica, ma sicuramente una persona acuta e abile sia nella comunicazione che nella manipolazione del carattere umano, capace di impersonare qualsiasi figura professionale e presentarsi come qualcuno di cui fidarsi.

Supponiamo, ad esempio, il caso di una chiamata improvvisa che ci costringe ad alzarci dalla nostra comoda poltrona per rispondere al telefono: Nicola, il segretario di un ambulatorio polispecialistico, vuole farci prenotare una visita di controllo.

Nicola è attento a fornire tutti i dettagli e, per ultimare la prenotazione, non ci resta che fornirgli i nostri dati personali: chiudiamo la chiamata e ci dimentichiamo di Nicola, che invece ha ottenuto i nostri dati.

Questi tipi di attacco sfruttano proprio la disponibilità e l’insicurezza delle persone ad accedere a dati riservati o inducono le vittime a svolgere determinate operazioni.

La vittima viene scelta sulla base di varie informazioni e in relazione all’attacco che l’ingegnere sociale vuole perseguire. Elementi chiave sono la vicinanza alle notizie da ottenere, la conoscenza e il rapporto tra l’utente e le politiche aziendali.

Fiducia e capacità di comunicazione sono i veri requisiti essenziali, piuttosto che le vere competenze IT. La vittima in questione, infatti, non si accorge nemmeno di essere attaccata e l’aggressore riesce a rubare informazioni piuttosto riservate, attraverso le quali cerca di monetizzare l’attacco.

Un punto fondamentale utilizzato da ogni ingegnere sociale è anche quello di sfruttare i bug presenti nei processi e nelle politiche aziendali. È infatti in grado di leggere e interpretare qualsiasi policy per trovare le lacune o semplicemente utilizzare il bug necessario per ottenere ciò di cui ha bisogno in modo anonimo e senza correre troppi rischi.

Un altro vantaggio è la velocità e la semplicità dell’attacco. L’ingegnere sociale non deve trovare bug del software, non deve clonare badge, non ha bisogno di analizzare i punti deboli di una rete. L’ingegnere sociale ottiene tutto ciò di cui ha bisogno semplicemente chiedendolo direttamente alla vittima.

Ne consegue che questo tipo di approccio è sicuramente più vantaggioso di altri perché comporta costi minimi, rischi contenuti, non necessita di certo di specialisti informatici, funziona con qualsiasi sistema operativo e soprattutto non necessita di networking, né lascia tracciabilità.

Social hacking: come funziona un attacco e quali sono le sue fasi

Gli step fondamentali dell’attività di un ingegnere sociale sono tre:

  • la ricerca di un obiettivo (possibilmente un’azienda con un numero elevato di dipendenti)
  • la selezione della potenziale vittima (il personale più sensibile sono le segretarie, i nuovi dipendenti o il dipendente più anziano)
  • la creazione di un vero e proprio legame con la “preda”.

Solo dopo aver completato questi passaggi, il nostro hacker può dedicarsi al vero attacco.

In particolare, la sua attività si articola in quattro fasi:

  1. footprinting
  2. contact
  3. mind hacking
  4. escape

Il footprinting è il recupero iniziale delle informazioni sulla potenziale vittima, il contact è la creazione di un contatto reale con il target prestabilito, il mind hacking è la manipolazione della fiducia e del rapporto precedentemente instaurato, l’escape è la fuga con l’intento di dileguarsi, senza lasciare alcuna traccia.

Fase 1: il footprinting

Il recupero iniziale delle informazioni sulla potenziale vittima costituisce la prima parte dell’attacco. Una fase che può durare mesi, in cui l’ingegnere sociale studia e analizza i sistemi di comunicazione aziendale, il funzionamento della posta interna, i rispettivi giorni di pulizia e il comportamento del personale.

L’ingegnere sociale lavora sfruttando ciò che Mitnick chiama “il valore nascosto dell’informazione”: non importa che tu lo consideri inutile o irrilevante, perché qualsiasi dato può aiutarti a scoprire qualcosa di più rilevante e significativo. L’età, il nome dei tuoi figli, lo sport o l’hobby praticato: un ingegnere sociale ha la capacità di capitalizzare ogni singola informazione e investirla in nuovi attacchi più potenti e mirati.

La capacità di rubare informazioni personali, gusti, e/o hobby può aiutare ad avvicinarsi alla vittima e passare dall’essere un completo estraneo al diventare un amico con cui condividere del tempo o anche il collega ideale.

Oltre al personale devono essere valutati anche l’ambiente che circonda la vittima, il settore in cui opera l’azienda e i rapporti sia con i dipendenti che con i fornitori. Questo permetterà all’ingegnere di entrare negli spazi comuni, mescolarsi ai veri dipendenti e avvicinarsi silenziosamente, senza destare alcun tipo di sospetto.

Fase 2: il contact

Dopo aver raccolto tutte le informazioni in tempi e metodiche diverse, l’aggressore deve cercare di stabilire un contatto con il target, in genere un dipendente o qualcuno che lavora all’interno dell’azienda, con il quale deve essere stabilito un buon rapporto. La fiducia che l’ingegnere sociale acquisisce gradualmente verrà utilizzata per rivelare informazioni private che possono causare gravi danni al sistema.

Fase 3: il mind hacking

Per strutturare il comportamento della vittima, l’hacker ricorre a tecniche psicologiche di classificazione dei caratteri.

Non è un caso che l’ingegnere sociale sia spesso definito un “ottimo psicologo”, poiché è proprio questa stessa capacità che contribuisce ad aumentare l’intensità dell’attacco. Alla luce di ciò, le tecniche di social hacking, o meglio i cosiddetti “mind trick” sono molteplici, anche se condividono tutte una base strettamente psicologica.

In particolare, una delle tecniche più utilizzate è ad esempio quella del pretesto, che cerca di creare con la vittima un legame speciale all’interno di un ambiente artificiale (il pretesto, appunto), inducendola così a divulgare le informazioni necessarie.

Si tratta sostanzialmente di quella pratica che consiste nell’ottenere le informazioni personali della vittima e poi venderle a soggetti che potrebbero utilizzarle per ricevere un certo accreditamento con le credenziali acquisite, o addirittura per sottrarre i beni della persona in questione.

Fase 4: l’escape

Nell’ultima fase della “fuga”, l’ingegnere sociale copre le sue tracce, come sulla scena di un delitto, in modo da essere irreperibile e tornare nell’ombra senza dare la possibilità alla vittima e alle forze dell’ordine di ritrovarlo. È proprio per questo motivo che un buon ingegnere sociale non si espone mai troppo.

Social hacking: i trucchi psicologici più usati dall’ingegneria sociale

Ogni hacker si concentra sui tratti comportamentali specifici del target in modo da estrarre quante più informazioni possibili.

Tra questi spiccano:

  • l’entusiasmo per una vittoria
  • la paura dell’autorità
  • il desiderio di essere utili
  • la paura della perdita
  • la pigrizia
  • la conoscenza insufficiente

Nel primo caso, ipotizziamo che il signor X abbia ricevuto un’e-mail in cui viene informato della vincita di 1 milione di dollari. Deve controllare il documento allegato e inoltrare una mail all’indirizzo indicato.

Seguendo le istruzioni, dovrà disattivare l’antivirus in quanto potrebbe causare seri problemi di download, dovuto al fatto che il documento è stato firmato digitalmente.

Preso dall’entusiasmo, il soggetto esegue tutte le istruzioni, ma aprendo il documento criptato scopre che è danneggiato. Inutile dire che in questo modo ha scaricato un malware, dando al mittente della mail un accesso remoto al proprio sistema.

Nel secondo caso sono comprese quelle persone che si sentono intimidite dalla presenza di una figura autoritaria, ma non tanto dalla persona stessa, quanto piuttosto dalla posizione e dal potere che essa detiene. L’attaccante si attribuisce quindi a un ruolo autoritario, come quello di poliziotto, avvocato, medico o qualcuno che ha potere all’interno dell’azienda al fine di estrarre informazioni dalla vittima.

Il desiderio di essere utili, risolvendo le richieste di altre persone, aiuta invece a fornire molte informazioni, che altrimenti non verrebbero fornite a uno sconosciuto.

Il timore di una perdita si concretizza nel caso ipotetico in cui il signor X riceve una mail in cui viene indicato come vincitore di una grossa somma di denaro, prima di ottenere tale somma deve depositare $90.000 sul conto indicato, altrimenti 10 giorni dal ricevimento della mail. Se non deposita la somma, verrà estratto un altro vincitore. Il signor X ha paura di perdere questa opportunità, seguirà le istruzioni. Solo quando avrà già effettuato il deposito, si renderà conto di essere stato ingannato.

La pigrizia ci rende anche potenziali vittime, soprattutto se svolgiamo lavori che ci permettono di compiere solo un numero limitato di azioni, senza possibilità di modificare la procedura. Questi soggetti assumono quindi un atteggiamento rilassato al lavoro, diventando così bersagli sensibili in quanto potrebbero rivelare informazioni senza troppi sforzi.

A volte, per mancanza di preparazione, i dipendenti stessi non si sentono sicuri della loro conoscenza del proprio lavoro e quindi un ingegnere sociale cerca di trarne vantaggio, creando un senso di urgenza, non dando al dipendente molto tempo per pensare e capire che in effetti è sotto attacco.

Un altro scenario utile potrebbe essere quello di simulare un incontro casuale in cui si finge di vivere la stessa brutta situazione della vittima (problemi emotivi, problemi familiari, difficoltà lavorative). Questo approccio può spingere la barriera della sfiducia, consentendo all’hacker di entrare in contatto con la vittima.

Un altro espediente che può essere considerato è quello del cosiddetto Human Buffer OverFlow.

Stiamo parlando della tecnica che viene spesso utilizzata in guerra, ad esempio quando c’è un indebolimento dell’attenzione, viene inserito un input frettoloso in modo che la vittima sia disorientata e confusa e abbia maggiori probabilità di cadere nella trappola. Questo ci basta per dedurre quanto sia importante gestire i tratti emotivi della relazione con la vittima.

Anche il principio di autorità è estremamente diffuso, soprattutto nell’ambito della frode. Consiste nella tecnica dell’intimidazione da parte di una falsa autorità creata ad hoc dall’ingegnere sociale. In particolare, esempi emblematici potrebbero essere citare un esperto del settore, in una situazione difficile; per sottolineare la differenza di grado e autorevolezza ed elencare personaggi famosi che hanno preso la stessa decisione che l’ingegnere sociale vuole che prendiamo.

Social hacking: la toolbox dell’ingegneria sociale

Come ogni hacker, anche l’ingegnere sociale possiede la sua toolbox, particolarmente ricca in termini di mezzi per cercare e organizzare le informazioni, che funge da supporto nei momenti critici.

La scelta di strumenti particolari rispetto ad altri sarà effettuata sulla base del tipo di social hacking di cui parliamo.

In particolare, ci sono due tipi principali: ingegneria sociale umana e ingegneria sociale digitale.

Gli strumenti dell’ingegneria sociale umana

L’ingegneria sociale umana è il metodo classico, il migliore, ma anche il più difficile da mettere in pratica. L’aggressore deve avere capacità di improvvisazione, deve essere loquace e in grado di stabilire un rapporto di fiducia con uno sconosciuto.

A questo punto, l’ingegnere sociale potrà ricorrere a tecniche come l’eavesdrop o il wiretap.

L’eavesdrop è l’ascolto di una conversazione segreta, o anche di un’intervista che non dovrebbe essere ascoltata poiché può rivelare informazioni importanti. Non ci sono regole particolari per eseguire questa tecnica; fingere di essere totalmente disinteressati è la soluzione più naturale ed efficace.

Il wiretap sono le intercettazioni che possono essere messe in pratica anche attraverso la messaggistica istantanea, le chiamate VoIP e gli scambi di posta elettronica.

Altre tecniche degne di nota sono lo shoulder surfing e il dumpster diving.

Lo shoulder surfing è l’attività di spionaggio di ciò che il soggetto digita sulla tastiera con lo scopo di forzare informazioni sensibili, come password e codici di accesso.

Il dumpster diving consiste nel cercare informazioni utili all’interno della spazzatura dell’azienda considerata: una pratica illegale nella maggior parte dei paesi occidentali, Italia compresa.

La toolbox dell’ingegneria sociale digitale

Il social hacking digitale si basa invece sull’uso del computer e comprende

  • Phishing

Tipo di truffa su Internet con cui un aggressore cerca di ingannare la vittima, convincendola a fornire informazioni personali sensibili. Nello specifico, si tratta dell’invio di mail contenenti un vettore di attacco al fine di installare software dannosi per dati rilevanti.

  • Hoax letter

Gli hoax letter sono, letteralmente “messaggi burla” che avvisano della presenza di virus. Falsi alert con l’intento di far percepire alla vittima una situazione di pericolo. In questo caso, l’utente verrà spinto a scaricare una (falsa) applicazione antivirus proprio per “proteggere” il sistema.

  • Chain letter

Altrimenti dette come “Catene di S.Antonio”. L’hacker notifica alla vittima di aver vinto un premio a cui potrà accedere solamente se clicca su un certo tasto, oppure sul link indicato, ovvero inoltrando il messaggio a un certo numero di persone a lei collegate. In questo modo non si fa altro che aumentare l’impatto della diffusione dello strumento malevolo.

  • Finestre di pop-up

Messaggi che appaiono sul sistema della vittima che la invitano a cliccare sul link, in seguito a un (falso) problema, come un virus e/o l’interruzione della connessione di rete.

Nella maggior parte dei casi, se l’utente non è ben informato, può facilmente confondersi e cliccare sul link, eseguendo il vettore malevolo.

Altri strumenti che un buon ingegnere sociale deve avere sempre a portata di mano, soprattutto se si occupa di attacchi in ambito aziendale sono:

  • Key-ghost

È un dispositivo che registra la digitazione dei tasti premuti, tracciando ciò che viene scritto sulla tastiera. Per installare questi dispositivi, l’aggressore deve avere accesso fisico al PC da controllare. La versione base può durare 10 giorni (fino a circa 97000 tasti premuti) prima che la sua memoria sia completamente riempita. Inoltre, al fine di interrompere l’attacco in qualsiasi punto del processo, è necessario predisporre controlli di accesso all’area in cui sono presenti le postazioni di lavoro.

  • Bedbugs

Letteralmente, “cimici”, ovvero microspie. Giocano un ruolo importante in quanto possono essere utilizzate per prevedere le mosse della vittima con largo anticipo.

  • Baiting

È un’altra tecnica per rubare dati ed eseguire truffe, basata sulla più grande debolezza, o forza, della natura umana: la curiosità. Basti pensare al caso in cui troviamo una penna USB per terra o un CD con una bella etichetta invitante. Se lo proviamo, troveremo un virus che può essere utilizzato dal truffatore per accedere e spiare segretamente il nostro computer.

Social hacking: gli strumenti di formazione per difendersi

Le aziende pubbliche o private hanno a disposizione diversi strumenti per difendersi da potenziali “violazioni” della sicurezza di dati rilevanti e/o sensibili, garantendo il più possibile riservatezza, disponibilità e integrità delle informazioni.

Il GDPR prevede il ricorso a dei programmi mirati di formazione obbligatoria.

Anche la Direttiva europea 2016/1148 sulla sicurezza delle reti e dei sistemi informativi, meglio nota come Direttiva NIS, definisce per gli Operatori di Servizi Essenziali le linee guida per la gestione dei rischi, la prevenzione e la mitigazione degli incidenti che hanno un impatto considerevole sulla continuità e sulla fornitura dei servizi essenziali. La formazione del personale affinché sia adeguatamente sensibilizzato sui rischi di Cyber Security e sulle pratiche da adottare è l’elemento imprescindibile.

Il National Institute of Standards and Technology (NIST) non è da meno in quanto sottolinea il bisogno di promuovere un’adeguata cultura della sicurezza per il personale.

Tralasciando quei comportamenti che, seppur banali, possono incidere ampiamente sulle capacità di fronteggiare un’eventuale minaccia quali la scelta di aggiornare o meno periodicamente il proprio sistema operativo, la navigazione su siti non sicuri, l’apertura di allegati dannosi ricevuti via e-mail, il download di programmi di dubbia provenienza, il mancato ricorso ad antivirus adeguati, esistono dei validi metodi per garantire la business continuity aziendale.

Di seguito, alcune soluzioni che si possono utilizzare per incentivare la consapevolezza dei dipendenti rispetto al social hacking.

Campagne di Ethical Phishing

Una volta premuto il link malevolo o aperto l’allegato contenente il malware, l’utente riceve un messaggio di notifica dell’esercitazione e accede a pillole formative per evitare che lo stesso comportamento si presenti anche in futuro.

GoPhish è un tool disponibile per tutte le piattaforme, tra cui Windows, Mac OSX e Linux. Si tratta di uno strumento in grado di realizzare la simulazione di una campagna di attacco phishing, dando l’opportunità di effettuare una sessione di formazione pratica per il personale.

Gamification

Strumento interattivo che prevede la diffusione di messaggi formativi per aumentare la consapevolezza dei dipendenti. Una riunione di follow-up guidata da un cyber-trainer per fissare i concetti appresi durante l’esperienza potrebbe essere un valido metodo di apprendimento.

Ad esempio: Marco, dipendente di un’azienda che si occupa di trasporti e logistica, arriva in ufficio e accede alla rete intranet aziendale.

La password è scaduta e il sistema gli chiede di aggiornarla. Marco opta per una password complessa e di conseguenza molto sicura e proprio per questo riceve 50 punti sicurezza che vanno a sommarsi a quelli già ottenuti: gli mancano 100 punti per passare dal livello 2 al livello 3. Il sistema, per aiutare Marco a memorizzare la password, gli propone un mini gioco che consta nell’inserire la password più volte a una velocità sempre maggiore. Marco completa il gioco arrivando a scrivere la password in meno di 4 secondi. Riesce così a guadagnare altri 50 punti, portandosi alla seconda posizione della classifica del suo team.

Il suo collega Luca, che ha ricevuto la notifica del nuovo punteggio di sicurezza di Marco, gli manda un messaggio per ricordargli che al primo posto della classifica c’è ancora lui. Marco apre la posta e scopre di aver ricevuto un’email e ne riconosce un possibile phishing. Al posto di cestinarla, Marco usa il pulsante di segnalazione di phishing: questo gli vale ben 100 punti e il raggiungimento del livello 3. Il sistema lo festeggia con una piccola animazione e lo informa che potrà convertire i suoi punti in un buono da € 40 da spendere al negozio di elettronica convenzionato con la sua azienda, oppure in una ricarica gratuita della chiavetta per la macchina del caffè. Il suo collega Luca lo ricontatta e gli promette che si riprenderà la vetta della classifica al più presto.

In questo modo, sono stati premiati una serie di comportamenti virtuosi come la creazione di una password sicura, la memorizzazione di una password complessa, e la segnalazione di un pericolo di phishing, senza tralasciare il fatto di aver incentivato i colleghi ad assumere altrettanti comportamenti virtuosi.

Conclusioni

Per difendersi dal social hacking, vanno adottate misure che propongano un linguaggio semplice, alla portata di tutti. È preferibile che le sessioni siano di breve durata, così da non disperdere la concentrazione dell’utente.

La formazione va intesa come strumento continuativo al fine di far percepire che il rischio è una minaccia sempre latente, silente e subdola, pronta a palesarsi quando meno ce lo si aspetta.

Le aziende sono chiamate a modificare il loro approccio, investendo in una formazione periodica, diversificata, e concentrata principalmente sul fattore umano.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 2