Il Baiting è una tecnica di social engineering molto interessante, perché fa leva sulla curiosità delle persone, spingendole a verificare il contenuto di chiavette usb lasciate incustodite negli uffici o trovate in luoghi insoliti all’interno o nei pressi della società. Spesso queste chiavette-esca sono etichettate con la dicitura “Riservato” o con altri adesivi interessanti, (immaginate quanto può far gola dare una sbirciatina a una memoria flash etichettata “Stipendi”), per attrarre il curioso di turno e spingerlo a compiere le azioni che fungeranno da innesco all’attacco.
L’output di un gesto così poco saggio può includere l’infettare il proprio PC e l’intera rete aziendale con un malware o consentire l’esecuzione automatica di programmi malevoli finalizzati all’accesso alla rete aziendale e/o all’esfiltrazione di dati. Insomma, un disastro, che altro non è che un incidente di sicurezza.
Ma quanto è facile che un malintenzionato riesca a fare centro utilizzando questa trappola?
Molto, soprattutto nelle grandi realtà aziendali, dove ci sono più persone che non si conoscono tra loro, più luoghi di relax (bar interni, aree fumatori, distributori automatici, mense) che potrebbero essere utilizzati anche da visitatori, apparentemente innocui (chi si mette in allarme per un manutentore dell’ascensore o delle stampanti che si prende una pausa caffè?).
E molto, anche nelle piccole realtà aziendali quando condividono la stessa sede fisica con altre società, sostanzialmente per gli stessi motivi già accennati sopra.
Insomma, laddove il controllo è latente o semplicemente più complesso da adottare, il rischio aumenta.
Cosa possiamo fare a livello centralizzato per arginare i rischi collegati al baiting?
- Innanzitutto, conoscerlo e fare campagne informative rivolte a tutto il personale. L’ingegneria sociale non va confusa col solo phishing, pertanto è bene approfondire anche le altre tecniche e strumenti di attacco e, contemporaneamente, far comprendere la portata di comportamenti inconsapevoli o superficiali e le responsabilità personali ad essi collegate. Responsabilità che possono anche comportare ripercussioni gravi a livello professionale e sanzionatorio.
- In secondo luogo, emettere precise policy e procedure di sicurezza che impediscano a monte di fare un uso improprio degli strumenti aziendali: in questo specifico caso, ad esempio, potrebbe essere una buona idea inibire le porte USB dei PC aziendali, abilitandone l’utilizzo solo su richiesta, corroborata da reale necessità operativa (da verificare).
E farlo caso per caso!
Una pratica certamente onerosa per i reparti tecnici, ma nulla in confronto al dover fronteggiare le ripercussioni negative derivanti da baiting.
Chi volesse approfondire il tema della gestione in sicurezza dei supporti rimovibili nel loro intero ciclo di vita, può dare un’occhiata alla linea guida UNI CEI EN ISO/IEC 27002: 2024 che dedica un intero controllo ai “Supporti di memorizzazione” (7.10).
Nei corsi dell’area Data e Information Governance di TÜV NORD Italia potrete approfondire la tematica dell’ingegneria sociale e di governance e security.