Al social engineering ci stavo pensando oggi. Al momento lavoro in un ufficio pubblico che tratta dati piuttosto sensibili e la sicurezza informatica rasenta lo 0. Nome di battesimo come password di dominio nel 90% dei casi, nessuna particolare policy di sicurezza, account di amministratori di dominio dati via come il pane, accesso di questi ultimi ad ogni tipo di dato su ogni macchina o quasi. Cmq oggi un mio collega chiama un ufficio esterno e dice "Ciao Pippo, sono Pluto dall'ufficio blabla di Milano, non funziona la procedura taldeitali, mi manderesti via mail una copia del certificato ssl che provo da un altro pc che non passa per il proxy?" e quello l'ha mandata, ma potrebbe essere stato chiunque a chiamare, per dio. E li funziona tutto così, bah. Non è una centrale nucleare, ma cmq