26.9.14

Falsi profili Linkedin: alcuni casi pratici


Ultimamente mi è capitato di imbattermi in alcuni profili Linkedin che mi hanno fatto nascere alcuni sospetti.
Due di essi mi hanno chiesto l'amicizia, mentre uno si è limitato a guardare il mio profilo.
Se qualcuno di voi avesse accettato la loro amicizia, il mio consiglio è di cancellarli e di segnalarli a Linkedin (vedi sotto come fare).

Ecco due esempi:


  1. Michela Rossi, analista Genexus


Michela ha chiesto di entrare in collegamento con me. Poco dopo vedo che si è collegata con alcuni miei contatti. 
Da diffidente quale sono, e cosciente della mia difficoltà a ricordare i nomi delle persone, ho scandagliato nei punti più reconditi della mia memoria per ricordarmi se avessi mai conosciuto una Michela Rossi che aveva lavorato dal 2000 al 2008 nel gruppo Bipop-Carire, dove anche io ho lavorato fino a fine 2003.
Mi sovviene poi che nel 2002, Bipop Carire si integra con la Banca di Roma e costituisce il gruppo Capitalia, perdendo la denominazione originale. Vabbè, potrebbe anche starci che, essendo entrata nel 2000 in Bipop-Carire, la Michela si sia dimenticata di rivedere il nome del datore di lavoro fino al 2008.
Appare poi strano che abbia studiato in un'università Israeliana: il nome non suona ebreo (ma potrei sbagliarmi) e inoltre mi pare remota che un'italiana possa aver studiato in Israele, per vari motivi, tra cui la rigorosità dei criteri di selezione dei candidati in base al merito.Vabbè, potrebbe anche essere una ragazza estremamente brava e preparata, di origini ebree, non possiamo escluderlo.Quello che infine mi lascia un po' perplesso è però la sua immagine: conscio di essere tacciato di sessismo, mi lascio insospettire dal fatto che un'analista Genexus, che ha fatto per 8 anni l'IT Manager in Bipop-Carire, non possa essere così giovane e carina.Faccio quindi una reverse image search grazie a Tineye.com, e scopro che l'immagine del profilo è tratta da un articolo di un giornale argentino che parla di una certa soubrette locale, che lungi dal chiamarsi Michela Rossi, si chiama invece Jesica Cirio (notare la somiglianza della foto con queste ) 

Conclusione:









2. amy johana peter (si presenta in minuscolo), Scientist at Novartis
Qui vado subito al sodo: la ragazza è veramente carina, la foto è troppo chiara sullo sfondo e puzza di photo stock. Inoltre, sembra ambientata in una farmacia, ambiente che stride col suo ruolo di Scientist (in una farmacia ci vedrei bene una Pharmacist:)
Per cui ricorro a Tineye che mi da subito il responso: foto presente negli archivi fotografici di vari stockisti.
Inoltre, appare strano che una ragazza europea o americana si trovi a lavorare in India. Con questo non intendo affermare che sia impossibile, ma solo che sia poco probabile. Possiamo assegnare una probabilità del 10% a questa possibilità? Forse è troppo alta.

Conclusione:


I due tentativi di Social Engineering (uno diretto e uno ad abboccamento, stile honeypot) sono leggermente diversi tra loro, sebbene siano accomunati da un fine: stabilire un contatto con una persona attraverso Linkedin, per scopi al momento non noti.
Il primo approccio è diretto, sebbene non molto raffinato perché:
- la ragazza appare troppo giovane per avere quella esperienza
- appare strano che abbia studiato in un college israeliano
- è troppo carina

Il secondo approccio è più raffinato, anche se pecca di un'immagine palesemente finta e di una bassa probabilità che una ragazza europea o americana cosi carina si trovi a lavorare nel Tamil Nadu.

I due profili hanno in comune l'avvenenza delle ragazze nelle immagini: anche questa componente costituisce chiaramente una sollecitazione per il sesso maschile.

Cosa fare in questi casi?

  • Nel caso riceviate una richiesta di contatto, non conosciate la persona e il suo profilo vi fa nascere qualche sospetto, non accettate.
  • Nel caso Linkedin vi segnali che il vostro profilo è stato visitato da una persona che ha un profilo che vi fa nascere qualche sospetto, non chiedete il contatto.
  • segnalate i profili sospetti a Linkedin:
    • nel profilo della persona cliccate sulla freccina sulla sinistra di "Invia un messaggio InMail" e selezionate "Blocca o segnala questa persona". Cliccate su "Segnala [nome cognome] cosi" e indicate i motivi del vostro sospetto.

Come verificare se un'immagine è falsa?

Scaricate l'immagine del profilo e sottoponetela alla ricerca di www.tineye.com (molto meglio di Google Image Search).

Aggiornamento del 29 settembre 2014:
Il fatto che amy johana peter (scientist at Novartis) abbia da poco eliminato la sua foto è indicativo del fatto che ha letto questo post?

9.9.14

Il mio nuovo Libro - Sicurezza delle informazioni: educare l'azienda



Un libro sulla Security Awareness? Perché mai?
Perché "io ne ho viste cose che voi umani non potreste immaginarvi":
  • programmi aziendali di educazione alla sicurezza basarsi su materiale già vecchio prima che fosse usato;
  • proposte di security awareness che non vengono nemmeno presi in considerazione dal management;
  • programmi di formazione partiti in quarta, ma incagliati dopo pochi mesi, per mancanza di budget o di riscontro da parte del pubblico;
  • messaggi di awareness che non venivano raccolti e applicati dal personale;
  • programmi andati a buon fine il cui risultato non poteva essere valutato  (perché ciò non era stato previsto).
Ecco quindi nascere il progetto che, dopo la raccolta di idee, materiale e ricerche, ha portato alla realizzazione di "Sicurezza delle informazioni: educare l'azienda - Progettare, attuare e mantenere un programma di Security Awareness e training" (pubblicato da IPSOA, gruppo Wolters Kluwer)

Eccovi una breve presentazione.
E' Il fattore umano, più che la tecnologia, la chiave per fornire un adeguato e appropriato livello di sicurezza in azienda. Dati e applicazioni danneggiati da malware o altri incidenti tecnici, furto o divulgazione dolosa o colposa di informazioni sensibili, sanzioni per mancata compliance a causa di eventi imprevisti, sono inconvenienti nei quali può incorrere un’azienda per colpa di una cattiva gestione della sicurezza delle informazioni al proprio interno.
Un programma efficace di Awareness e formazione a livello aziendale è fondamentale per assicurare che le persone comprendano le proprie responsabilità di sicurezza e le policy organizzative, ed è importante perché imparino a usare e proteggere, in modo adeguato, le risorse a esse assegnate.
Questo libro è una guida per costruire, attuare e mantenere un programmai nnovativo e completo di Awareness e formazione. Le linee guida sono presentate in forma di approccio a ciclo di vita: partono dalla progettazione di un programma di Awareness e training; passano poi al suo sviluppo e alla sua implementazione; arrivano infine alla valutazione ex-post del programma stesso. Il libro spiega anche come i manager della sicurezza possono identificare le necessità di Awareness e training, sviluppare un piano formativo e ottenere i finanziamenti adeguati.
Questa guida si rivolge ai manager dei dipartimenti Organizzazione, Risorse Umane, Information Technology, Sicurezza e Risk Management. Il successo di un programma di Awareness e training, nonché del programma di sicurezza aziendale, dipende dall’abilità di queste persone di perseguire il comune obiettivo di proteggere le risorse informative aziendali.

STRUTTURA
1. La gestione del programma di Security Awareness
2. Come giustificare un programma di security Awareness
3. Pianificare un programma di Awareness
4. La valutazione di un programma di sicurezza
5. Il marketing della sicurezza
6. Principi di base della formazione sui temi della sicurezza delle informazioni
7. Performance ed esperienza di apprendimento
8. Security Awareness e standard di sicurezza

8.9.14

Usare il Cloud in modo sicuro - Ouch! Settembre 2014

Il Cloud è una tecnologia che sia le aziende sia i privati stanno adottando sempre più diffusamente. I suoi vantaggi non risiedono solo nella possibilità di accedere e sincronizzare le informazioni dai vari device di cui disponiamo da ogni parte del mondo, ma anche nel poter condividere le informazioni con chiunque desideriamo.
Sebbene questi servizi online ci permettano di essere più produttivi, sono purtroppo caratterizzati da una serie di rischi piuttosto peculiari: in questa newsletter, James e Kelli Tarala vi spiegheranno come utilizzare il Cloud in sicurezza.
Potete scaricare la newsletter da questo link.


OUCH! è la newsletter gratuita focalizzata sull'utente non-tecnico. Pubblicata ogni mese e tradotta in più di 20 lingue, viene realizzata dal team del progetto Securing the Human con la collaborazione dei membri della community SANS, di cui fa parte anche Advanction.

OucH! viene distribuita con licenza Creative Commons BY-NC-ND 4.0 .
Siete liberi di distribuirla all'interno della vostra organizzazione e condividerla con amici e famigliari.