L’elemento umano come - Sicurezza Informatica | Yarix provocare danni irreparabili ai sistemi di...

2 0 1 5 S o c i a l E n g i n e e r i n g R e p o r t

L ’e l e m e n t o u m a n o c o m e v u l n e r a b i l i t à

2

2015

Soc

ial E

ngin

eerin

g Re

port

Titolo

Copyright © 2015 Yarix Srl

Vietata la riproduzione, anche parziale, senza citare la fonte

Sommario

Introduzione ................................................................................... 3

Social engineering: un problema reale ........................................ 5

Che cos’è il social engineering ...................................................... 7

Aspetti psicologici nel social engineering .................................... 8

Profilazione degli intrusori........................................................... 10

Canali di attacco ........................................................................... 11

Le fasi del social engineering ...................................................... 12

Risultati dell’analisi ...................................................................... 13

Conclusioni ................................................................................... 18

Chi è Yarix ..................................................................................... 20

Riferimenti .................................................................................... 21

3

2015

Soc

ial E

ngin

eerin

g Re

port

Titolo



IntroduzioneIntroduzione

“Se non conosci te stesso e non conosci il tuo nemico,sii certo che ogni battaglia sarà per te fonte di pericolo gravissimo.”

(Sun Tsu - L’arte della guerra)

Si chiama Social Engineering ed è lo studio del comportamento individuale al fine di carpire informazioni utili. Una metodologia efficace applicata al penetration testing professionale non ancora sufficientemente sfruttata dalle aziende e tesa a testare il livello di vulnerabilità del personale interno. Dall’analisi dei servizi di VA e PT erogati nel 2014 da Yarix, azienda leader in Italia nella Sicurezza Informatica, emerge che il 74% delle aziende è vulnerabile ad attacchi condotti sfruttando tecniche di social engineering. Il dato allarmante è indicativo di una forte mancanza di consapevolezza del rischio.

Il presente documento è il resoconto delle attività di social engineering svolte nel corso del 2014, legate alle attività di Vulnerability Assessment e Penetration Testing eseguite per i clienti.

Gli obiettivi di quest’analisi sono stati quelli di valutare l’incidenza del fattore umano nella protezione dei dati, la quantificazione del livello di consapevolezza dei dipendenti in tema di sicurezza e la loro preparazione alla protezione degli asset IT dell’azienda.

4

2015

Soc

ial E

ngin

eerin

g Re

port



Le attività sono state pianificate ed effettuate dal Red Team, un’equipe formata da tecnici altamente specializzati e con pluriennale esperienza in Ethical Hacking, dotati di una profonda conoscenza dei sistemi e delle loro vulnerabilità e condotte con una metodologia universalmente riconosciuta.

I tentativi di attacco posti in essere si sono svolti secondo un approccio personalizzato, in base agli obiettivi della situazione particolare. Gli scenari di test sono stati studiati su misura per le policy e i processi specifici di ciascuna azienda. Al completamento del test è stato fornito all’azienda un report dettagliato delle policy testate e dei risultati di ciascun tentativo di violazione.

Gli ambiti operazionali delle aziende oggetto di test sono di vario tipo: manifatturiero, automotive, chimico-farmaceutico, fashion, finanziario, oltre a settori come istruzione, sanità, trasporti, per citare alcuni. L’analisi condotta è relativa al 2014 e offre una disamina utile ad aziende ed organizzazioni per approcciarsi correttamente alle problematiche della sicurezza.

5

2015

Soc

ial E

ngin

eerin

g Re

port

Titolo



Social engineering: un problema realeLe previsioni per il 2015 non lasciano dubbi: sarà un altro anno record per violazioni e altri devastanti eventi di cybercrime. Gli attacchi continuano a crescere in complessità e volume.

Si sta evidenziando la tendenza all’utilizzo da parte dei cybercriminali di tecniche avanzate di malware e social engineering per lanciare attacchi sempre più sofisticati e difficili da prevedere, tali da provocare danni irreparabili ai sistemi di sicurezza aziendali, con conseguenti perdite economiche, danno alla reputazione, perdita di dati sensibili.L’impatto del cybercrime sulle aziende è ormai evidente; nell’ultimo anno è cresciuto enormemente l’utilizzo di malware, divenuto ormai reperibile a costi sempre più contenuti nel mercato underground. Un problema endemico, dietro il quale si è sviluppata una vera e propria industria.

Nuove tipologie di attacco e il rapido cambiamento dello scenario IT hanno messo in crisi la capacità di protezione dei sistemi di sicurezza tradizionali. L’aumento delle minacce, con particolare riguardo agli Advanced Persistent Threat (APT) - processi di attacco mirati e sofisticati che seguono schemi precisi, volti a compromettere un obiettivo nel tempo - non va di pari passo con l’aumento della consapevolezza del rischio.In particolare, tecniche di social engineering sono centrali in una strategia di attacco APT e risultano ancora molto sottovalutate. Tali tipi di attacco hanno un impatto rilevante sul business, essendo volti a trafugare informazioni strategiche, sabotare l’organizzazione, danneggiare i sistemi.

I dati più recenti evidenziano come i criminali informatici tendano a non imbarcarsi più sulla complessa compromissione di server e sistemi operativi, ma preferiscano usare l’ignaro utente del web, sfruttandolo mentre utilizza browser e posta elettronica, trasformandolo così in alleato inconsapevole. In altre parole, tramite un lavoro raffinato di social engineering e una delivery qualitativa di un prodotto finale (in questo caso messaggi via email di prodotti, offerte o sottoscrizioni fittizie) si riesce a far cadere nella trappola un numero maggiore di utenti.

Social engineering: un problema reale

6

2015

Soc

ial E

ngin

eerin

g Re

port



Per quanto riguarda le aziende, mentre da un lato si assiste ad un aumento della percentuale relativa ad investimenti in sicurezza informatica (saliti dell’8% nel 2014 a livello globale, nonostante il perdurare della crisi economica), dall’altro continuano ad aumentare il numero e la gravità degli attacchi, limitatamente a quelli percepiti, considerando che secondo le stime ben 2/3 degli attacchi non vengano neppure rilevati. I criminali informatici sono infatti diventati più abili nello sfruttare le lacune nella sicurezza per eludere i controlli e nascondere le attività dannose. I team di sicurezza che si dedicano alla difesa devono migliorare costantemente l’approccio alla protezione delle loro aziende, per salvaguardarle da attacchi informatici sempre più sofisticati.

Per affrontare attacchi sempre più complessi diviene dunque indispensabile cambiare il punto di vista, affidandosi ad un approccio basato su un’orchestrazione di vari sistemi sotto un modello olistico.La parola d’ordine del 2015 è “prepararsi all’impatto” che probabilmente sarà inevitabile, adottando logiche di Cyber Resilience e applicando l’antica massima “conosci te stesso”: soltanto conoscendo le proprie vulnerabilità è possibile predisporre un modello di rischio accurato, costantemente aggiornato, stimando le perdite potenziali e determinando correttamente gli investimenti necessari.

7

2015

Soc

ial E

ngin

eerin

g Re

port

Titolo



Che cos’è il social engineering“...the art and science of getting people to comply with your wishes.”

(Harl - People Hacking)

Nel campo della sicurezza informatica, il social engineering (o ingegneria sociale) è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili. Questa tecnica è anche un metodo (improprio) di crittanalisi quando viene usata su un individuo che conosce la chiave crittografica di un sistema e può quindi rappresentare un metodo assai efficace per ottenere la chiave. Quando un cracker non riesce a trovare dei bug sfruttabili per attaccare un determinato sistema informatico, un attacco di social engineering può rappresentare una tecnica molto utile per procurarsi le informazioni desiderate. Tale tipologia di attacco presuppone che il social engineer (ovvero colui che conduce l’attacco) sfrutti il dolo e l’inganno per portare a termine il suo intento. L’ingegnere sociale è quindi abile a mascherare la propria identità, fingendosi un’altra persona: in tal modo egli riesce, solitamente attraverso la conversazione o altre interazioni, a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale. In molte occasioni l’attività di social engineering è strettamente collegata a quella di phishing.

Per contrastare meglio il problema, è fondamentale capire la natura degli attacchi di ingegneria sociale. Ciò significa definire le probabili minacce, gli attori, i loro metodi di attacco e le loro risorse. La minaccia di ingegneria sociale è più reale di quanto non si sia portati a credere, i criminali informatici la utilizzano per estrarre informazioni utili per vari usi malevoli.

Che cos’è il social engineering

8

2015

Soc

ial E

ngin

eerin

g Re

port

Titolo



Aspetti psicologici nel social engineeringSecondo studi di psicologia, l’essere umano è naturalmente portato ad aiutare le persone quando sono in reale difficoltà. Questa, e altre inclinazioni, come ad esempio la tendenza a fidarsi delle persone o la paura di finire nei guai, vengono utilizzate e sfruttate da hacker e cracker.

Il social engineering costituisce una minaccia formidabile per le reti più protette. È l’attacco più potente, perché non esiste alcuna tecnologia che permetta di prevenirlo o di difendersi. Per essere in grado di difendersi da esso è necessario essere addestrati.Quali sono le tendenze di base del comportamento umano che l’ingegnere sociale utilizza per ottenere la risposta che desidera?Secondo studi approfonditi esisterebbero alcune tendenze di base del comportamento umano, sfruttabili dall’ingegnere sociale:

• RECIPROCITÀ: quando viene offerto qualcosa in regalo che non si è richiesto, si è spinti a ricambiare in qualche modo il dono o il favore che ci è stato fatto. La regola della reciprocità, che induce una persona a ricambiare il comportamento di altri nei propri confronti, sembra essere una delle più efficaci in tutte le culture. Chi non ricambia favori, regali o altre attenzioni positive da parte di qualcuno, mette a rischio la sua relazione con questa persona o si crea la reputazione di ingrato. L’ingegnere sociale potrebbe ad esempio causare un problema, creandolo ad arte utilizzando le sue competenze informatiche, e poi risolverlo, guadagnandosi in questo modo la gratitudine e la fiducia della sua vittima, che sarà così più disponibile nei suoi confronti.

• COERENZA: è una trappola per la quale le persone hanno la tendenza a mantenere una stabilità nel modello dei propri comportamenti/pensieri ed è alla base della convinzione che qualcuno sia proprio come si presenta ai loro occhi, fino a prova contraria.

• VALIDAZIONE SOCIALE: se un pensiero, un comportamento o un modo di essere è condiviso da un buon numero di persone, verrà

Aspetti psicologici nel social engineering

9

2015

Soc

ial E

ngin

eerin

g Re

port



facilmente percepito come una buona alternativa da seguire. • LIKING: la gente più facilmente risponde affermativamente a persone di cui ha simpatia o con le quali ha un legame. Anche la bellezza fisica ha un ruolo importante: le persone tendono ad associare tratti come la gentilezza e l’onestà ad un gradevole aspetto esteriore e sono inoltre maggiormente propense ad obbedire alle richieste che provengono da persone esteticamente attraenti.

• AUTORITÀ: se una richiesta proviene da una persona che occupa una posizione di spicco nell’azienda, oppure si presenta per conto di qualcuno molto importante, magari vestendosi in modo particolarmente curato, ha maggiori probabilità di essere accolta.

• SCARSITÀ: l’idea che una risorsa sia presente in quantità non sufficiente per tutti scatena il desiderio di possederla. Un’opportunità poco disponibile è senz’altro più appetibile rispetto ad un’altra per la quale non sussistono limitazioni. L’ingegnere sociale può mandare delle e-mail in cui sostiene che regalerà i biglietti per l’ultimo spettacolo di successo ai primi che si registreranno nel suo sito inserendo fra i dati richiesti anche la specifica della casella di posta elettronica aziendale. Molte persone scelgono per comodità la stessa password che utilizzano al lavoro, semplificando il lavoro del malintenzionato.

• ALTRUISMO: l’uomo è naturalmente portato ad aiutare un proprio simile in modo disinteressato se prova empatia nei suoi confronti e se l’aiuto che gli dà non ha per lui costi troppo elevati. L’ingegnere sociale si finge spesso un principiante che ha bisogno di aiuto oppure un collega che ha avuto una giornata storta.

10

2015

Soc

ial E

ngin

eerin

g Re

port

Titolo



Profilazione degli intrusoriSono svariate le tipologie di attori che potrebbero utilizzare il social engineering, ognuna con motivazioni particolari, quali principalmente il guadagno, ma anche la sottrazione di dati di vario tipo, il vantaggio competitivo, la vendetta:

• hacker solitari, con competenze o motivazioni di vario tipo

• insiders: spesso non hanno grandi competenze tecniche, ma il loro accesso alle reti sensibili rappresenta un rischio

• hacktivisti: protagonisti della disobbedienza in rete spinti da motivazioni di carattere politico

• organizzazioni criminali e gruppi terroristici

• investigatori privati, giornalisti, outsiders

• organizzazioni commerciali (alcuni settori ad esempio prevedono incentivi economici per acquisire dati personali riservati)

Profilazione degli intrusori

11

2015

Soc

ial E

ngin

eerin

g Re

port

Titolo



Canali di attaccoGli ingegneri sociali possono utilizzare diversi canali per i loro attacchi:

• Email: phishing e spear phishing sono particolarmente efficaci. Il phishing è un tipo di attacco attraverso il quale criminali informatici inviano messaggi email a milioni di potenziali vittime in tutto il mondo con l’obiettivo di perpetrare una frode. Normalmente questi messaggi sembrano provenire da una fonte di cui si ha fiducia, come ad esempio la banca. Le email possono contenere un link che conduce ad un sito progettato per infettare il computer dell’utente oppure un allegato infetto che, una volta aperto, tenterà di prendere il controllo del computer. Nel phishing i criminali informatici inviano questi messaggi al maggior numero di persone possibile: più persone sono destinatarie dell’email, più alto sarà il numero delle vittime. Nello spear phishing il concetto è il medesimo: l’attaccante invia un’email alla sua vittima fingendosi un’organizzazione o una persona di cui la vittima ha fiducia. A differenza del phishing tradizionale i messaggi di spear phishing sono estremamente mirati: non ne sono destinatari milioni di vittime potenziali, ma un gruppo ristretto oggetto precedentemente di analisi fondate su ricerche attraverso i social media. In questo modo la possibilità che i destinatari cadano vittime della truffa aumenta enormemente.

• Telefonata: è il modo più diretto per ottenere informazioni sensibili.

• Incontri faccia a faccia

• Servizio postale e fax: si tratta di canali il cui utilizzo è ora meno diffuso rispetto alla posta elettronica. Con vari pretesti (ad esempio un premio da ritirare) gli obiettivi sono invitati a inserire i propri dati personali in un modulo.

Canali di attacco

12

2015

Soc

ial E

ngin

eerin

g Re

port

Titolo



Le fasi del social engineeringL’attività di social engineering risulta strutturata in più fasi, che possono essere così riassunte:

Fase preliminare: in questa fase, definita footprinting, il social engineer si occupa della raccolta delle informazioni sulla vittima per poi arrivare all’attacco vero e proprio. Durante questa fase (che può richiedere anche diverso tempo, l’ingegnere cerca di reperire tutte le informazioni necessarie per condurre l’attacco sul bersaglio individuato quali indirizzi e-mail, recapiti telefonici, numeri di fax, ecc. La ricerca di informazioni è complessa e le fonti sono molteplici: informazioni reperite da siti web aziendali, profili di social networking, documenti pubblici…

Fase intermedia: in questa fase, non sempre presente nell’attività di social engineering, l’ingegnere si occupa di verificare che le informazioni in suo possesso siano attendibili. Dopo aver preparato una sorta di canovaccio con le informazioni raccolte nella fase precedente e con le risposte ad eventuali quesiti che potrebbero essere posti, per effettuare tali verifiche l’engineer cerca di entrare in contatto diretto con la “vittima”. Lo strumento più utilizzato è senza dubbio la telefonata, che viene effettuata utilizzando uno stile vocale adeguato e studiato ad hoc. Al fine di raggiungere l’obiettivo, si cerca di entrare in sintonia con la vittima e dimostrare una certa sicurezza qualora vengano poste delle domande.

Fase finale: tale fase coincide con l’attacco vero e proprio, in cui si contatta la vittima per reperire le informazioni desiderate (un classico esempio è rappresentato dalla richiesta di username e password di autenticazione) con le scuse più disparate (controlli sulla macchina o sulla casella di posta elettronica, assistenza remota, ecc.). Il tutto viene condotto con tono molto accomodante e convincente al fine di spingere l’interlocutore a fornire le informazioni richieste. Se la vittima cade nel tranello, il social engineer avrà ottenuto il suo obiettivo, ossia una breccia nel sistema informatico della vittima, da cui potrà iniziare una fase di sperimentazione allo scopo di violare il sistema stesso.

Le fasi del social engineering

13

2015

Soc

ial E

ngin

eerin

g Re

port

Titolo



Risultati dell’analisiCome anticipato nell’introduzione, il campione preso in esame contiene realtà collegate a svariati ambiti operazionali. Due sono principalmente le motivazioni alla base delle richieste di attività di social engineering con finalità di test: la volontà di verificare le reazioni del personale qualora venga sottoposto ad attacchi esterni e la volontà di valutare il grado di assorbimento da parte del personale dei contenuti dei corsi di formazione erogati, per verificare l’effettiva comprensione e la capacità di darne attuazione.

I test sono stati preceduti da una pianificazione dettagliata sulla base delle informazioni iniziali fornite dal committente e l’individuazione di specifici target. Gli scenari di test sono studiati su misura per le policy e i processi specifici di ciascuna azienda o organizzazione.

Le attività di test sono state condotte utilizzando principalmente i seguenti strumenti: telefonate, invio di email e fax, tutti finalizzate ad indurre gli utenti oggetto di attacco a rilasciare informazioni che secondo le politiche aziendali avrebbero invece dovuto mantenere confidenziali.

I risultati tengono conto dell’esito dei test rispetto agli obiettivi prefissati per ognuna delle attività concordate. A ciascun test è stato assegnato un risultato: • POSITIVO: raggiungimento pieno degli obiettivi prefissati

• NEGATIVO: tentativi non andati a buon fine a causa delle obiezioni e del rifiuto del target

• INCERTO: raggiungimento parziale degli obiettivi prefissati o impossibilità del raggiungimento degli obiettivi prefissati per cause non dipendenti dalla volontà del target

Risultati dell’analisi

14

2015

Soc

ial E

ngin

eerin

g Re

port



Il 74% delle aziende è vulnerabile

Sugli attacchi condotti, il 74% di essi ha avuto esito positivo, mettendo in evidenza un atteggiamento eccessivamente permissivo e leggero da parte dei target nei confronti dei tester che li hanno contattati.

Tale atteggiamento ha infatti consentito la rivelazione di informazioni aziendali non divulgabili al pubblico o delle credenziali di autenticazione personali (nome utente e password) a macchine e applicazioni.

Ha avuto esito negativo il 18% degli attacchi, mentre per un 8% il risultato rimane incerto.

Di seguito il grafico rappresentativo dei risultati globali dei test condotti nel corso del 2014.

15

2015

Soc

ial E

ngin

eerin

g Re

port



I nuovi dipendenti sono maggiormente vulnerabili ad attacchi di social engineering

Scendendo nel dettaglio dei casi con esito positivo, un’interessante considerazione riguarda il fattore anzianità del servizio degli attaccati.

I risultati dei test evidenziano come i nuovi dipendenti siano stati maggiormente vulnerabili agli attacchi (58%) e la necessità quindi di investire in formazione.

Il successivo istogramma ne illustra i valori percentuali.

16

2015

Soc

ial E

ngin

eerin

g Re

port



Il personale IT risulta essere meno vulnerabile ad attacchi di social engineering, ma non esente

Valutando i test con esito positivo, un ulteriore dato interessante è dato dalla mansione dei target interessati. Tra di essi il 27% appartiene al settore IT, mentre è estraneo a specifiche competenze il 73% dei target per i quali l’attacco ha avuto esito positivo. Il successivo grafico permette di visualizzare tali percentuali.

17

2015

Soc

ial E

ngin

eerin

g Re

port



Aziende maggiormente vulnerabili agli attacchi di social engineering

Le aziende maggiormente vulnerabili ad attacchi di social engineering risultano essere quelle con fatturato tra i 5 e i 20 milioni di euro (30%), seguite da aziende con fatturato compreso tra 20 e 50 milioni di euro (26%). Le aziende con un fatturato annuo più basso mostrano una percentuale di vulnerabilità (15%) che si discosta poco rispetto ad aziende con fatturati elevati (18% e 11%). Questo dato può essere motivato considerando che all’interno delle piccole aziende vi è maggiore comunicazione, mentre nelle aziende maggiormente strutturate ed organizzate le procedure sono ben definite e vi è una maggiore attenzione alla formazione del personale.

18

2015

Soc

ial E

ngin

eerin

g Re

port

Titolo



ConclusioniLe aziende sottoposte nel corso del 2014 ad attività di social engineering hanno dimostrato gravi vulnerabilità dal punto di vista della sicurezza, ascrivibili ad un’eccessiva leggerezza da parte di buona parte dei target degli attacchi.Gli atteggiamenti rilevati hanno permesso una generale e allarmante facilità nel riuscire a reperire informazioni riservate e credenziali con cui gli utenti (dipendenti aziendali) si autenticano alla rete informatica aziendale, esponendo l’intera struttura ad attacchi ben più invasivi e pericolosi.

In generale durante lo svolgimento degli attacchi il personale contattato si è dimostrato molto cortese e disponibile ad ascoltare le richieste avanzate, ma tale atteggiamento, di per sé positivo, è spesso sconfinato, grazie all’abilità del social engineer, in un eccesso di confidenza che ha portato gli utenti ad abbassare la guardia rispetto all’oggetto delle richieste e a perdere di vista le politiche aziendali sulla sicurezza delle informazioni.

Quest’analisi conferma quelle che sono le complesse sfide che le aziende devono affrontare in materia di sicurezza IT: il disinteresse dei dipendenti nei confronti della sicurezza IT è causa dell’aumento dei rischi per le aziende. Il dipendente che si fida ciecamente è un anello debole nella catena della sicurezza e il risultato è l’esposizione dell’azienda a rischi elevati, poiché con il suo comportamento fornisce agli hacker maggiori punti di ingresso.Allo stesso tempo tuttavia non si può pensare di demandare al dipendente la responsabilità di apprendere e comprendere le policy di sicurezza aziendali o di essere informati sui rischi legati al cybercrime.

Conclusioni

19

2015

Soc

ial E

ngin

eerin

g Re

port



Considerazioni finali

Nella sicurezza l’anello debole è prima di ogni altro il fattore umano. Le persone costituiscono la più grande vulnerabilità, per la quale non esiste patch: l’unica difesa contro il social engineering sta nella formazione e sensibilizzazione del lavoratore, che deve saper applicare le politiche di sicurezza ed essere consapevole di come gli altri possono influenzare in senso negativo il suo comportamento. La sicurezza non è questione esclusiva del dipartimento IT, ma coinvolge tutte le componenti aziendali, infrastrutture e persone. La sicurezza non è un prodotto ma è un processo aziendale che va continuamente affinato e verificato affinché sia efficiente ed efficace.

Soltanto individuando le minacce e i punti di possibile attacco di un sistema o di una infrastruttura ICT è possibile porvi rimedio neutralizzando le minacce, le criticità e i punti di possibile attacco.

20

2015

Soc

ial E

ngin

eerin

g Re

port

Titolo



Chi è YarixYarix, società italiana leader nella Sicurezza Informatica, è stata fondata nel 2001. E’ tra i principali fornitori di servizi e soluzioni di Cyber Security a industrie, enti governativi, militari ed università: sicurezza informatica in tutte le sue forme, dall’analisi del rischio alla predisposizione di soluzioni adeguate alle esigenze della clientela. Dispone di un Security Operation Center, un centro servizi all’avanguardia per il monitoraggio h24 a garanzia di protezione delle infrastrutture aziendali. Il SOC fornisce un approccio esaustivo in tema di sicurezza informatica, business continuity e disaster recovery.Yarix ha inoltre condotto numerosi progetti di sicurezza in ambito nazionale ed internazionale.Esperienza pluriennale, personale altamente qualificato e certificato, investimenti continui in Ricerca & Sviluppo nel settore della sicurezza confermano la sua leadership nel campo dell’Information Technology.Yarix collabora con i maggiori player mondiali dell’Information Technology e promuove iniziative per la diffusione di una più ampia cultura digitale. Per ulteriori informazioni, visita il sito www.yarix.com.

Chi è Yarix

https://www.yarix.com/

21

2015

Soc

ial E

ngin

eerin

g Re

port

Titolo



RiferimentiCisco – 2015 Annual Security ReportSymantec – ISTR20 Internet Security Threat ReportRapporto Clusit 2015 Mcafee – Hacking the Human Operating SystemRobert Cialdini, Influence: The Psychology of Persuasion Cialdini & Trost, Social influence: Social norms, conformity and complianceDaniel Batson, Empathy-Induced Altruistic Motivation

Riferimenti

tel. +39.0423.614249fax [email protected]

mailto:info%40yarix.com?subject=

https://www.yarix.com/

L’elemento umano come - Sicurezza Informatica | Yarix provocare danni irreparabili ai sistemi di...

Documents

Transcript of L’elemento umano come - Sicurezza Informatica | Yarix provocare danni irreparabili ai sistemi di...