Sophos, società leader a livello mondiale nel settore della sicurezza informatica e nella tecnologia di controllo dell´accesso alla rete (NAC), ha reso noti i risultati dell’ultima indagine sulla nuova frontiera del crimine informatico: il social networking. Un sondaggio, condotto online nel febbraio 2009 (709 intervistati), ha rivelato che il 63% degli amministratori di sistema nutre la preoccupazione che i dipendenti condividano troppi dati personali attraverso i propri profili sui social network, mettendo così a rischio la rete aziendale e i dati sensibili. I risultati dell’indagine indicano, inoltre, che un terzo delle aziende è stato vittima di attacchi di spam, phishing o malware lanciati attraverso i social network come Twitter, Facebook, LinkedIn e MySpace.

Gli esperti di Sophos sottolineano che da quando il social networking è entrato a far parte della vita quotidiana di molti utenti, permettendo loro di scoprire cosa combinano i propri amici, di visualizzare foto o semplicemente di aggiornare il loro stato online, quantità eccessive di informazioni vengono aggiornate minuto per minuto. L’uso frequente dei social network li rende un obiettivo primario per i criminali informatici che puntano a rubare identità, diffondere malware o bombardare gli utenti di messaggi di spam.

“Le preoccupazioni nutrite inizialmente da molte aziende in merito alla produttività dopo l’esplosione del fenomeno Facebook stanno cedendo il passo alla presa di coscienza che il social networking cela rischi ben più seri”, ha dichiarato Walter Narisoni, Sales Engineer Manager di Sophos Italia. “Poiché i criminali informatici scelgono di sfruttare questi siti per scopi illeciti, utenti e aziende incolpevoli si ritrovano sulla linea di fuoco. Finché gli utenti, però, non apriranno gli occhi rendendosi conto dei pericoli che corrono e le aziende non inizieranno ad adottare misure precauzionali per far fronte a queste minacce, assisteremo ad un’escalation costante”.

L’indagine di Sophos conferma che, sebbene un terzo delle aziende continui a considerare la gestione della produttività come la ragione principale per controllare l’accesso dei dipendenti ai social network, la minaccia rappresentata da malware e fuga di dati sta diventando sempre più evidente e costituisce la principale fonte di preoccupazione per un’azienda su cinque.

Gli esperti di Sophos fanno notare che nel 2009 quattro dei social network più popolari – Facebook, MySpace, LinkedIn e Twitter – hanno subito un numero non indifferente di attacchi di spam e malware aventi l’obiettivo di violare i PC degli utenti o sottrarre informazioni sensibili. Spaziando dalle tradizionali truffe “419” che mirano a raggirare gli utenti inducendoli a inviare denaro all’estero con l’espediente che un amico si trova nei guai, al malware camuffato da messaggi di errore di Facebook, i criminali informatici stanno adottando gli stessi metodi collaudati di sempre, sfruttando però i social network come nuova arma per mettere a segno i loro colpi.

Il metodo classico di attacco usato dagli hacker consiste nel violare gli account rubando nome utente e password – servendosi spesso di phishing o spyware – per poi utilizzare il profilo della vittima per l’invio di spam o collegamenti malevoli ad amici e colleghi della stessa. L’indagine condotta da Sophos rivela che un terzo degli intervistati è stato preso di mira dagli spammer sui siti di social networking e, analogamente, un terzo (il 21%) ha subito un attacco mirato di phishing o malware.

“Il volume di messaggi promozionali indesiderati e collegamenti malevoli è in aumento e a farne le spese sono soprattutto gli utenti di Facebook, che li ricevono dagli account dei propri amici controllati dagli hacker”, ha aggiunto Narisoni. “Sebbene i social network stiano cominciando a prendere provvedimenti per arginare il fenomeno – attivando, ad esempio, finestre pop-up con cui l’utente conferma di voler visitare un certo link esterno – purtroppo queste misure non sono sufficienti. Occorre che le organizzazioni adottino una strategia di sicurezza IT basata su criteri di protezione efficaci, di cui una componente fondamentale è rappresentata dalla formazione degli utenti. Questi devono imparare a scegliere e gestire password sicure per impedire ai criminali informatici di assumere il controllo degli account online, che potrebbero fungere da punto di accesso alla rete aziendale”.

Il blocco totale non rappresenta necessariamente la risposta adeguata. Poiché il social networking come forma di comunicazione è ormai ben radicato nelle abitudini quotidiane dei dipendenti, gli esperti di Sophos prevedono che gli utenti continueranno a condividere informazioni in modo inappropriato, mettendo a repentaglio la propria identità e, potenzialmente, l’organizzazione per cui lavorano. In modo analogo, fintanto che gli utenti continueranno ad abboccare alle truffe organizzate attraverso i social network, i criminali informatici continueranno a sfruttare le reti sociali, impadronendosi delle identità per rubare informazioni e lanciare attacchi. La completa messa al bando dei social network sui luoghi di lavoro, tuttavia, potrebbe rivelarsi una mossa affrettata, causando più danni che benefici.

“Negando completamente al proprio personale l’accesso al sito di social network , le aziende corrono il rischio di indurre i propri dipendenti a escogitare un modo per aggirare il divieto, creando vulnerabilità ancora più pericolose nel sistema di sicurezza aziendale”, ha spiegato Narisoni. “Non dimentichiamo inoltre che i siti di social networking possono avere anche scopi aziendali benefici in alcuni casi, offrendo l’opportunità di creare contatti con clienti attuali e potenziali”.

“In breve, i social network sono destinati ad avere lunga vita, quindi è importante che le aziende trovino una soluzione pratica per collaborare con questi siti anziché combatterli. Adottando un approccio olistico – investendo, ad esempio, in soluzioni integrate di sicurezza e controllo e dedicandosi alla sensibilizzazione degli utenti – le aziende saranno meglio equipaggiate per affrontare i rischi connessi ai social network”, ha concluso Narisoni