Ingegneria Sociale – ETEL game

Ingegneria Sociale – ETEL game

ETEL - Exploiting The Eight Layer

Per ingegneria sociale in questo contesto si intende l’arte di violare determinati comportamenti umani, al fine di recuperare informazioni sfruttabili in un attacco. L’ingegneria sociale è un fenomeno in crescita, viene utilizzata in un numero sempre maggiore di attacchi informatici (fonte: Rapporto CLUSIT 2018) ed è alla base di fenomeni quali il phishing ed il furto d’identità. Il corso ha l’obiettivo di aumentare la consapevolezza delle persone in questo ambito e viene proposto in una modalità innovativa. Ad una parte teorica seguirà una parte ludica, durante la quale i partecipanti avranno la possibilità di giocare a “ETEL – Exploiting The Eight Layer“, un gioco di ruolo sviluppato da SEC4U e che consente ai giocatori di assumere il ruolo di ingegnere sociale, elaborando strategie di attacco miranti a sfruttare vulnerabilità nei comportamenti umani.

Perché un gioco?

Ci siamo accorti che la classica formazione face-to-face non è sufficiente a trasmettere agli studenti concetti che siano duraturi nel tempo. Inoltre durante i nostri corsi abbiamo verificato che talvolta i partecipanti riescono a mantenere un’attenzione ottimale e costante solo per un’ora e mezza/due ore al massimo, rendendo di fatto molto meno utile dal punto di vista formativo il restante tempo della lezione. Proprio il lato ludico della formazione consente invece di mantenere un’attenzione costante da parte dei partecipanti, con una conseguente migliore padronanza degli argomenti.
Inoltre, nel momento in cui si va a verificare quanto il personale di un’organizzazione possa essere vulnerabile ad attacchi che utilizzano l’ingegneria sociale, spesso ci si scontra con il malcontento del personale stesso, che si sente stressato ed in qualche modo “violato” nella propria privacy. L’attività di gioco mette invece molta meno pressione ai partecipanti, che possono divertirsi e nello stesso momento assorbire concetti fondamentali per la propria difesa e di conseguenza per la difesa dell’organizzazione della quale fanno parte. Non da ultimo, il momento di brainstorming di gruppo presente in ogni round del gioco permette la condivisione di valutazioni e di pareri da parte dei diversi colleghi, facilitando l’instaurazione di dinamiche di gruppo e di appartenenza.

Perché un gioco sull'ingegneria sociale?

L’ingegneria sociale viene sempre più sfruttata per attaccare le organizzazioni. Si stima che in circa l’80% degli attacchi informatici vi sia almeno una componente che sfrutta elementi di ingegneria sociale. Inoltre, circa il 75% delle organizzazioni risulta potenzialmente vulnerabile a questa tipologia di attacchi. Infine, dal punto di vista dei tutor è molto complesso trasmettere una formazione che sia solo teorica e che sia allo stesso tempo di alta qualità, proprio perché l’ingegneria sociale ha la caratteristica di essere fortemente legata a comportamenti umani talvolta soggettivi, per i quali una formazione maggiormente pratica come quella fornita attraverso ETEL garantisce risultati notevolmente migliori.

L'ingegneria sociale è l'elemento di gran lunga più utilizzato negli attacchi informatici.
I concetti teorici dell'ingegneria sociale sono difficili da trasmettere.
Le classiche lezioni frontali alla lunga sono noiose e trasmettono nozioni che si tendono a scordare in poco tempo.
Utilizzare elementi di ingegneria sociale nei penetration test porta spesso le persone a sentirci personalmente attaccate.

I vantaggi di ETEL

Si apprende giocando, in un clima rilassato.
I concetti trasmessi vengono assorbiti e mantenutii nel tempo perché frutto di attività pratiche.
Miglioramento dello spirito di gruppo tra colleghi che sono stimolati a raggiungere insieme l'obiettivo.
Momento di brainstorming che stimola la competizione e lo scambio di idee.

Come funziona?

I partecipanti vengono divisi in gruppi. Non ci sono particolari indicazioni sulle modalità di formazione dei gruppi, che possono essere eterogenei nella loro composizione. Ad ogni gruppo vengono forniti alcuni elementi utili (mappa dell’organizzazione, principi da sfruttare, modalità di attacco disponibili, profili delle potenziali vittime, tipologie degli asset da violare) che vengono utilizzati per costruire uno scenario di attacco che vada a sfruttare un comportamento umano individuato come possibile vulnerabilità.

Al termine della presentazione dell’attacco avviene poi una valutazione dello stesso e una discussione sulle possibili azioni di prevenzione e di rimedio. Attraverso questa modalità di formazione i partecipanti hanno la possibilità di provare con mano cosa significa predisporre un attacco, quali sono gli elementi sfruttabili e di conseguenza possono individuare le migliori strategie di difesa.

Se ritieni utile organizzare una sessione di gioco di ETEL all’interno della tua organizzazione contattaci all’indirizzo team@sec4u.co