Hard Service the solution

14/06/2020

Contribuisci ad un mondo più sicuro: metti mi piace sulla pagina e condividila con i tuoi amici! Tks 🙏

100 iscritti a questa pagina in poco più di 1 MESE!
Moltissimi errori di valutazione passano attraverso il modo con cui ci vengono presentate le informazioni e di conseguenza su come prendiamo le decisioni.
Ho pensato di condividere in questa pagina Facebook alcune riflessioni supportate dal articoli, libri, video, post ed il contributo di tutti voi!
Su questa pagina affronteremo, alcune considerazioni sulle tecniche di persuasione, su trappole che gli attaccanti utilizzano per farti intraprendere azioni che sono nel loro, ma non nel tuo interesse; cercheremo di aiutarti a comprendere come i cybercriminali utilizzano le vulnerabilità umane contro di te!
Metti mi piace su questa pagina
(come per il COVID-19 se diventiamo tutti più consapevoli, collaborativi, solidali possiamo diventare la prima linea di difesa per evitare il propagarsi di questi attacchi!) per questo ti chiediamo di condividere questa pagina premendo nella freccetta condividi qui in basso :-) tks

11/06/2020

“la sicurezza informatica non si pacchettizza : non puoi comprare il programma per la sicurezza informatica NON ESISTE” (cit. Stefano Zanero).
Non esiste una hardware o un software che va bene per tutti, un “pacchetto” unico per tutti e, soprattutto, ciò che va bene per un cliente oggi, potrebbe non essere adatto domani!

Ci piace moltissimo la vignetta della pagina dove alla destra del RING c’è DAVE in contrapposizione alla tecnologia. DAVE, l’uomo, la persona che sta nell’organizzazione, davanti ad un computer, ad una tastiera. È DAVE l’uomo che espone a violazioni e attacchi informatici, se stesso e l’organizzazione in cui lavora!
Pochi si preoccupano e studiano le vulnerabilità umane, i punti deboli di DAVE!
La mancanza di consapevolezza dell'utente (DAVE) contribuisce direttamente a gran parte dei principali attacchi informatici.
I criminali, astuti e sempre più organizzati si sono resi conto che è sempre più difficile e costoso attaccare la tecnologia. Per bypassare efficacemente e in modo affidabile i sistemi difensivi della vittima, i malintenzionati hanno capito che sfruttando le vulnerabilità delle persone, quelle di natura psicologica e/o sociale, possono ottenere accesso ai computer delle vittime più facilmente: il costo per organizzare un attacco di ingegneria sociale è molto più economico, il rischio è ancora più basso, il successo ed il vantaggio rispetto ad attacchi tradizionali è enorme.

Ricevi giornalmente decine di di email, ed inviti ad eventi, che ti propongono soluzioni tecnologiche, firewall di nuova generazione, software dotati di l’intelligenza artificiale, che promettono di bloccare e tener lontani gli attacchi informatici: TANTA ROBA ... rappresentata alla sx del ring della vignetta qui sotto!

Ma basta tutto questo per farti stare tranquillo? NO!

“la sicurezza informatica non si pacchettizza: non puoi comprare il programma per la sicurezza informatica NON ESISTE” (cit. Stefano Zanero / Carola Frediani).
Non esiste una hardware o un software che va bene per tutti, un “pacchetto” unico per tutti e, soprattutto, ciò che va bene per un cliente oggi, potrebbe non essere adatto domani!

Alla destra del RING c’è DAVE , l’uomo, la persona che sta nell’organizzazione, davanti ad un computer, ad una tastiera.
È DAVE l’uomo che espone a violazioni e attacchi informatici, se stesso e l’organizzazione in cui lavora!

Pochi si preoccupano e studiano le vulnerabilità umane, i punti deboli di DAVE!

La mancanza di consapevolezza dell'utente (DAVE) contribuisce direttamente a gran parte dei principali attacchi informatici.
I criminali, astuti e sempre più organizzati si sono resi conto che è sempre più difficile e costoso attaccare la tecnologia. Per bypassare efficacemente e in modo affidabile i sistemi difensivi della vittima, i malintenzionati hanno capito che sfruttando le vulnerabilità delle persone, quelle di natura psicologica e/o sociale, possono ottenere accesso ai computer delle vittime più facilmente: il costo per organizzare un attacco di ingegneria sociale è molto più economico rispetto ad un attacco tradizionale, il rischio è molto più basso, il successo ed il vantaggio sono quasi sempre garantiti!
La tattica principale utilizzata viene definita ingegneria sociale: cioè ogni atto tendente a influenzare una persona, per spingerla a intraprendere un’azione che normalmente non metterebbe in atto.

“Se pensi che la tecnologia possa risolvere i tuoi problemi di sicurezza, allora non capisci i problemi e non capisci la tecnologia.” (Cit. Bruce Schneier, Secrets & Lies k. )

In questa pagina vogliamo partire da DAVE. Ci piacerebbe che qui si condividessero esperienze, documenti, materiale, contributi, foto o screen di email che siano di aiuto per far compredere a tutti, come gli attaccanti usano le vulnerabilità umane contro di noi.
Impareremo, un pò alla volta, giorno per giorno, post dopo post, a difenderci da questi attacchi, impareremo inoltre a comprendere come il nostro cervello funziona, come vengono, prese le decisioni, cercheremo di capire come un aggressore può usare “grilletti” emotivi per farci intraprendere azioni che non necessariamente sono nel nostro migliore interesse”.
Metti mi piace, segui questa pagina , condividila con i tuoi amici. Per un mondo più sicuro serve il contributo e la collaborazione di tutti!

21/05/2020

Guarda come è facile hackerare il tuo 🧠 cervello!
Guarda il video e condividi!

Kevin Roose from Future Technology decided to see how easy it was for Social Engineering Hackers to gain access to his personal information - the results wer...

20/05/2020

metti mi piace su firewallumano.it .
Lo scopo di questa pagina è quello di farti accrescere la consapevolezza ed insegnarti a diventare finalmente padrone dei meccanismi inconsci che influenzano le tue decisioni, quando la tua mente deve decidere se aprire un email, cliccare su un link, scaricare una app, creare una nuova password...
Tutto parte dal tuo cervello, e quindi prima di ogni altra cosa devi capire come funziona.

“NON RIESCO AD ENTRARE ALL’UNICREDITS”

“Ieri pomeriggio, mentre stavo lavorando alacremente al mio progetto per la conquista del mondo, ricevo una e-mail da parte dello staff dell’ unicreditsbanca.
[Che figata!]
penso io.
[Manco mi sono iscritto e già e mi hanno aperto un conto!! ]
Non solo. Questi della unicredits sono talmente professionisti che mi avvertono che, causa un sovraccarico sul loro “generale server” il conto di cui non sapevo nemmeno l’esistenza potrebbe risultare irraggiungibile.
[ giammai! ] .
Cosa potevo fare? Il terrore di perdere questo fantasmagorico conto non valuto mi attanagliava le viscere. Giro e rigiro per la stanza mordendomi nervosamente il labbro quando ecco che scatta l’idea.
[Ma certo! Devo per forza loggarmi nel “nuovo più protetto server” del servizio online banking!]
Me lo suggeriscono loro... come ho potuto non pensarci prima!
Ma… aspetta un momento! E se fosse tutto un trucco per ingannarmi? Sai, il mondo é pieno di quella gente lì che ti mette gli internet falsi che poi ci clicchi e il giorno dopo arriva la bolletta del telefono da un miliardo di petroldollari insieme a una testa di cavallo a mò di monito.
Sono i cosi lì.. i piscing.
Preoccupato come un prete che deve cresimare il figlio di satana, rileggo la sacra e-mail dell’unicredits la quale mi avverte:
(cito testualmente)
“Per evitare la perdita dei Vostri dati personali e per la protezione contro assalti di ‘Phishing’ si prega di sempre chiudere la finestra del Vostro Internet Browser al termine di lavori con la banca ondine”
[ ah beh! E io che pensavo che il problema fosse ondine! Era ondine! Ma allora è fatta! Vado subito a loggarmi!]
Rinfrancato, clicco come un ebete “sull’indirizzo fisso” del nuovo web server ed ecco che, all’ apertura della pagina, mi appare la schermata di login.
[e adesso?]
Improvvisamente il gelo nelle vene! Ma come? Mi avevano dato l’account e si erano dimenticati di darmi login e password?
Non all’unicredits!
Recito come un rosario la e-mail e scopro che in realtà login e password non erano necessari; bastava la combinazione "Codice i Pin".
[ahhhhh! Codice i Pin!]
[codici i pin?]
[...]
Sprofondo nel terrore assoluto. Perle di sudore freddo mi rigano il volto ...
Lo sapevo. Quelli dell'unicredits, per una volta nella loro vita, hanno deciso di assegnare A ME, misero comune mortale, un conto presso di loro e io sono così stupido da non riuscire ad entrare!
[maledizione! maledizione! maledizione!] Rimetto a posto il comodino e mi scuso con la vicina, promettendole di aggiustare la parete il prima possibile.
Mi allungo sulla poltrona, triste e sconsolato, pensando a quanto abbia deluso la "banca ondine", quando ... all'improvviso l'idea!
Una persona qualunque potrebbe pensare che magari questa e-mail è il risultato di un programma di traduzione automatica, uno di quelli che, quando imposti "da inglese a italiano", in realtà esegue "da inglese a sardo stretto".
Ma io NON sono una persona qualsiasi!
[Ma certo! il login è: Codice e la password è: Pin. Ovvio no? ]
Inserisco freneticamente i dati e clicco su entra.
[Ommioddio no !!! Ho sbagliato a inserire i dati!]
Non io, signore! Non a meeeee! fa che questo non accada a me!

Cari lettori di < >, dopo aver provato per ore e ore, ancora non sono riuscito ad entrare. Vi prego aiutatemi! Sicuramente qualcuno di voi avrà il suggerimento giusto che mi permetterà di usufruire del mio meraviglioso account fantasma. Signori vi ricordo che si parla dell’unicredits, mica della cassas di risparmio di Meranos!
Qualsiasi informazione sarà più che ben accetta.

P.S.
Vi posto alcuni degli account che ho provato, cosicché non me ne spediate di identici:
Login: maledetti Password: ladri
Login: maremma Password: phishing
Login: titracco Passord: anchelano

“NON RIESCO AD ENTRARE ALL’UNICREDITS”
messaggio apparso sul forum della rivista on line Punto Informatico l’11 maggio 2005 oggi il link non è più raggiungibile. L’ho ritrovato nel prologo del libro in fotografia.

Quando si parla di sicurezza informatica é molto difficile comunicare il rischio, é la cosa più complicata che ci sia, anche questo aiuta!
Se avete “parodie” simili da proporre condividetele!

10/04/2020

Ciao, oggi più che mai vogliamo augurarti una serena Pasqua
Estendi l'augurio alla tua famiglia ed ai tuoi collaboratori.
La salute è importante, ma siamo certi che presto mettendo in fila le cose che stiamo imparando e con l'impegno di tutti ne usciremo migliori.

Un abbraccio!

15/03/2020

Vi informiamo che i nostri servizi di sono operativi scrivendo ai riferimenti indicati nell'immagine del profilo.
Ricordiamo ai nostri clienti la nostra disponibilità ad attivare soluzioni di e

25/12/2019

Auguri di Buone Feste anche se c’è chi VIGYLA (>)* per Voi, perchè se non volete che gli attaccanti si portino avanti, la Sicurezza Informatica non puó andare in vacanza!
VIGYLA (>)* Control Room

01/10/2019

Ottobre mese europeo della sicurezza informatica, ecco gli eventi in Italia ad oggi:

L'ECSM è una campagna dell'Unione Europea che si tiene durante tutto il mese di ottobre per promuovere tra i cittadini la conoscenza delle minacce informatiche e dei metodi per contrastarle, per cambiare la loro percezione di cyber minacce e fornire informazioni

15/08/2019

Ferragosto sempre aperti 🤙 ...e se a guastarsi è uno switch di core di un importante albergo sul Canal Grande a Venezia? Si interviene entro 2 ore. Cliente soddisfatto 👍

14/08/2019

Gli attacchi informatici non sono tutti uguali: come stanno evolvendo e come cambiano le tecniche di attacco.

Questa è un’altra “pillola di sicurezza” che ho scritto per aiutarti ad accrescere la consapevolezza nell’ambito della sicurezza informatica e della protezione dei dati.
( ...è adatta anche ai non tecnici - tempo di lettura 4 minuti).
————————————————————
Nel pugilato, il pugno che non ti aspetti o che non vedi arrivare, è quello che ti stende. Sono le minacce che ignori o che neghi quelle che mettono a rischio la tua organizzazione!

Oggi, voglio spiegarti come stanno evolvendo le tecniche di attacco, così anche se sarai colto di sorpresa, non sarai impreparato!

Le richieste che ricevo tutti i giorni dai miei clienti evidenziano che negli ultimi tempi gli attacchi informatici hanno raggiunto una complessità sempre maggiore.

Le piccole e medie aziende si trovano a dover respingere attacchi sempre nuovi, dovendo tuttavia confrontarsi con budget contenuti.

I criminali informatici, con un lavoro articolato e paziente, accedono ai file e ai dati delle vittime, si inseriscono nelle conversazioni di posta elettronica, ed elaborano trappole sempre più personalizzate e per questo sempre più credibili (tanto che, senza una conoscenza approfondita della materia, risulta spesso difficile distinguere i messaggi di phishing dalle normali conversazioni).

Viene spontaneo chiedersi cosa spinga i criminali informatici a dedicare così tanto tempo ed energie ad ogni singola vittima, quando fino a qualche tempo fa la strategia principale era l’invio “a pioggia” di mail con
ransomware in allegato, che consentivano ai criminali di infettare un gran numero di computer con poco sforzo. Era il periodo dei vari CryptoLocker, CryptoWall, WannaCry ecc. Tale modo di procedere, che potremmo paragonare alla pesca a strascico, risultava efficace per via della sua novità e dell’inesperienza della gente di fronte a questo genere di minacce informatiche. Con il passare del tempo, però, il rendimento di questa strategia è diventato sempre minore, grazie alla maggiore consapevolezza degli utenti. Trovandosi di fronte a delle vittime sempre meno ignare, gli attaccanti sono stati costretti a cambiare approccio, adottando
tecniche più sofisticate e personalizzate. I criminali ora sono in grado di penetrare negli account di posta degli utenti bersaglio, risalendo in questo modo alle loro reti di contatti e alla loro corrispondenza. Si “travestono” come reali clienti o conoscenti, non chiedono più semplici riscatti ma manipolano le vittime spingendole a
versare pagamenti camuffati in mezzo alle normali relazioni commerciali. Per esempio, ho recentemente seguito il caso di una grossa azienda in cui i malintenzionati, rubando l’account di posta del direttore di una
delle filiali (inconsapevole di tutto), è quasi riuscito a dirottare sul suo conto un pagamento di decine di migliaia di euro.
Si è passati insomma da un approccio basato sulla quantità (tante vittime scarsamente selezionate, di cui una parte verseranno il riscatto) ad una strategia basata sulla qualità (poche vittime selezionate, trappole molto più credibili, rendimento più alto).

C’è una differenza fondamentale che distingue i nuovi tipi di attacco, con delle implicazioni molto pesanti per le aziende. I vecchi ransomware, infatti, si rendevano evidenti non appena scaricati; la vittima sapeva istantaneamente di aver commesso un errore infettandosi con il malware che cominciava, da subito, a criptare i dati e a domandare il riscatto. Recentemente, la situazione si è molto complicata.

Le nuove tipologie di attacco hanno come obbiettivo primario prendere il controllo “silente” della rete e dei sistemi delle vittime (l’attacco può proseguire per settimane o mesi), in modo da individuare dopo una fase di studio, come colpire al meglio la vittima sulla base delle informazioni rubare.

Il fatto di “studiare” la vittima consente infatti ai criminali informatici di lanciare o attacchi programmati (a tempo) e personalizzati, arrivando a vere e proprie trattative per ottenere somme di denaro molto più alte
rispetto ai classici riscatti.

Per rubare dati utili dai PC delle vittime, i criminali informatici hanno iniziato ad usare un cocktail di malware silenti (ne avevo parlato anche qui: https://bit.ly/2KHhoqJ ), che si nascondono senza dare traccia di sé. Sono necessari alcuni
giorni perché i firewall e gli antivirus riescano a riconoscere un nuovo malware, grazie al continuo lavoro di aggiornamento.

Anche solo nel sospetto di aver scaricato un malware (per esempio, per aver aperto un allegato “strano”), non conoscendo nelle prime ore gli effetti che l’infezione produce, è quindi necessario mantenere in isolamento il PC infetto, dando il tempo alle tecnologie specializzate di aggiornarsi e identificare l’eventuale problema. Il pericolo dell’infiltrazione e del furto dei dati è troppo grande, e vale la pena di proteggersi di fronte a questa ipotesi. Questo tuttavia crea delle difficoltà ai miei clienti, che spesso non vedono il motivo di spegnere tutto il sistema fino a che non si individuano le modalità con cui il nuovo malware agisce e i danni che può arrecare: c’è il rischio che le nuove famiglie di malware si muovano lateralmente propagandosi in tutta la rete.

Bisogna quindi far intervenire il : il tuo ruolo è fondamentale per proteggere la tua organizzazione dai nuovi attacchi e a tal proposito ecco alcuni suggerimenti:

- non farti ingannare da e-mail o messaggi di phishing che contengono link o allegati malevoli;
- non farti persuadere da messaggi falsificati che cercano di convincerti a fare cose che normalmente non faresti;
- non condividere troppe informazioni sui social media e sul web;
- usa password composte da frasi (se vuoi sapere come ne ho parlato qui: https://bit.ly/2KvjISE ).
- verifica sempre le richieste inattese o che sembrano strane prima di agire (confrontati con almeno altre due persone/colleghi prima di agire).
- non dare per scontato che un’e-mail o un messaggio siano legittimi perché arrivano da qualcuno che conosci o sono delle PEC o chi scrive è un’ autorità.

“Chi conosce il proprio nemico e conosce se stesso potrà affrontare senza timore cento battaglie.” Sun Tzu – l’arte della guerra.

è la nostra newsletter per aiutarti, coinvolgerti e formarti al fine di ridurre il tasso di incidente dovuti alle vulnerabilità umane!

Se ti è piaciuta condividila per un mondo più sicuro.

Ci si iscrive qui : https://tinyletter.com/stefanobenato

Per restare aggiornato seguimi su twitter :

22/07/2019

WatchGuard Earns Recommended Rating from NSS for High Security Efficacy and Low Total Cost of Ownership