Cosa sono il Tailgating e il Piggybacking? SI tratta di due pratiche di ingegneria sociale che sfruttano il fattore umano per violare aree riservate al personale autorizzato, comportando rischi per la sicurezza sia fisica che informatica.
Scopriamo esattamente di cosa stiamo parlando e capiamo come questi scenari si applicano sia alla sicurezza fisica che a quella informatica. C’è una sottile differenza tra il significato di Piggybacking e Tailgating.
Il Tailgating rappresenta la situazione in cui un individuo senza autorizzazione d’accesso segue da vicino una persona autorizzata in un’area riservata. Il malintenzionato approfitta del momento in cui l’autorizzato apre la porta con il suo badge e si infiltra all’interno prima che la porta si richiuda.
Il Piggybacking rappresenta la situazione in cui qualcuno accede a un’area riservata ottenendo il permesso attraverso l’inganno di una persona autorizzata.
Come avviene nella pratica?
Se hai visto il film con Leonardo DiCaprio “Prova a prendermi”, ricorderai l’astuto personaggio del famoso truffatore Frank Abagnale che ha interpretato. Il truffatore è entrato in aree restritte negli aeroporti e negli ospedali fingendosi un medico o un pilota di aereo. Ha avuto successo attraverso l’inganno e l’astuzia, causando danni finanziari alle aziende che ha ingannato.
Tali criminali rappresentano un grave problema per le aziende, poiché violano la legge, spesso con intenti criminali. Coloro che cercano di ottenere l’accesso senza autorizzazione possono essere ben vestiti e presentarsi come clienti per ingannare il personale di sicurezza. Oppure possono apparire vestiti da corrieri, portando pacchi ingombranti e chiedendo a qualcuno dello staff di aprire la porta d’ingresso con un badge aziendale.
Purtroppo, la gentilezza e l’ingegno delle persone spesso aiutano i truffatori. Riescono ad accedere a aree riservate, mettendo a rischio beni aziendali e dati confidenziali. Chiunque tenti di ottenere un accesso non autorizzato è consapevole di queste “debolezze” e le sfrutta per ottenere ciò che vuole.
Lascieresti entrare qualcuno che non conosci nella tua casa? Anche se te lo chiedesse gentilmente e con buone maniere? Probabilmente ci penseresti due volte prima di farlo, poiché potrebbe comportare un rischio per la tua sicurezza e quella dei tuoi cari.
Cosa puoi fare per proteggere lo spazio aziendale?
Lo stesso atteggiamento è valido per la sicurezza del tuo luogo di lavoro. Se noti uno sconosciuto senza badge nella tua azienda, devi seguire alcune procedure di sicurezza. La maggior parte delle aziende ha politiche di sicurezza che descrivono le regole di accesso alle aree riservate. Se non ne hai mai sentito parlare, chiedi di metterle in pratica.
- Non permettere a qualcuno che non riconosci come collega di accedere alle aree riservate insieme a te (Tailgating). Se la porta ha una serratura, lascia che sia lui a aprirla.
- Quando noti qualcuno che non conosci all’interno del tuo ufficio, verifica se ha un badge per i visitatori.
- Se noti qualcuno sospetto, ma non puoi chiedergli il motivo della sua presenza, contatta immediatamente il personale di sicurezza. Sono lì apposta per eventi del genere.
La situazione può essere più complicata quando si tratta di spazi di coworking. Ci sono molti dipendenti di diverse aziende che vengono e vanno e non si conoscono tra loro. Gli intrusi possono utilizzare trucchi vari per accedere alle aree riservate.
IT Il piggybacking informatico
Purtroppo, il Tailgating e il Piggybacking si verificano più spesso di quanto si possa pensare. Ci sono numerose violazioni dei sistemi informativi causate dalla negligenza e dalla ingenuità dei dipendenti. Dimenticano di bloccare il loro schermo o lasciano le loro credenziali di accesso scritte su un post-it accanto al monitor. Chi entra nelle aree riservate senza autorizzazione con scopi molto specifici sicuramente se ne accorgerà.
Per favore, segui le politiche di sicurezza aziendale:
- Ricordati di bloccare il laptop o il desktop quando ti allontani dal posto di lavoro. Spegnilo alla fine della giornata.
- Proteggi l’accesso al tuo computer con una password complessa. Non condividerla con nessuno, anche se ricevi una chiamata da un tecnico informatico che ha bisogno della tua password per “fare cose”. Nessun tecnico ti chiederà mai la tua password.
- Mantieni il tuo posto di lavoro in ordine e non lasciare documenti aziendali, sia cartacei che digitali, incustoditi.
- Tieni tutti i documenti confidenziali al sicuro in compartimenti chiusi a chiave.
- Distruggi i documenti con dispositivi appropriati quando non sono più necessari.
Puoi trovare queste e altre informazioni importanti nella piattaforma di formazione security awareness che consente ai dipendenti di aumentare le proprie competenze per resistere agli attacchi informatici e alle tecniche di ingegneria sociale, come quelle indicate in questo articolo.