Antivirus e sicurezza

Perché i nuovi dipendenti sono il bersaglio perfetto per lo spear-phishing

05 Marzo 2021

La prima cosa che per natura viene da fare in genere quando otteniamo un nuovo impiego è quella di condividere la notizia, sei d’accordo?

Magari non è per tutti così, ma per la maggior parte delle persone lo è.

Ovviamente per condividere non intendo fare una telefonata ai propri familiari o amici.

Oggigiorno i social media fanno parte della nostra quotidianità e il potere della condivisione è amplificato rispetto al passato e questo in alcuni casi è un bene, in altri no, come vedremo tra poco.

LinkedIn, Twitter, Facebook sono piattaforme altamente pericolose nel momento in cui appunto si condivide la nuova posizione lavorativa, il nome dell’azienda, il nuovo ruolo perché è tutto ciò che serve ad un hacker per sferrare un attacco di spear-phishing.

I nuovi dipendenti condividono la loro nuova posizione sui social media

La maggior parte degli utenti solitamente si preoccupa di tenere al sicuro i propri dati sensibili come credenziali, numeri di carte di credito e IBAN perché potrebbero essere venduti nel dark web.

Ma i profili social, che sono di pubblico dominio, forniscono ugualmente un ricco database per i malintenzionati, non solo nel caso di nuove assunzioni. Basti pensare alle informazioni riguardanti l’istruzione, l’esperienza pregressa, gli interessi.

Sebbene la maggior parte degli attacchi vengono sferrati in maniera casuale da hacker “dilettanti”, esistono dei veri e propri esperti che riescono a colpire in maniera più mirata selezionando le proprie vittime in maniera strategica proprio in base alle informazioni che riescono a carpire online.

Una volta che il cyber criminale capisce cosa fa l’utente, dove lavora, quali sono i suoi colleghi e responsabili e soprattutto se è in grado di poter fare alcune azioni, come per esempio effettuare bonifici a fornitori…il gioco è praticamente fatto.

Prima cercherà di avere accesso al suo account di posta elettronica attraverso un’email truffaldina creata ad hoc, dopo di che si fingerà magari il CEO dell’azienda per farsi recapitare un cospicuo bottino.

Ti ho già parlato di come vengono combinati gli attacchi di phishing con quelli di spear-phishing, vero?

E quindi…quale miglior vittima se non il novellino entrato in azienda che ancora non conosce processi e colleghi!

I nuovi dipendenti non hanno familiarità con colleghi e processi aziendali

Le prime settimane per un nuovo dipendente sono cruciali e rappresentano un momento di vulnerabilità sia per lui sia per l’azienda. A seconda del tipo di mansione potrebbe non essere chiaro il giro del fumo: chi si occupa di cosa, come vanno fatte le cose, quali precauzioni vanno prese, quali procedure bisogna seguire e così via.

In una grande azienda un CEO non chiederebbe mai a un dipendente di fargli un “favore” o di eseguire un bonifico urgente ma magari in una PMI da 30 dipendenti potrebbe capitare. Dipende dalle policy aziendali che un nuovo dipendente ancora non comprende.

E se capitasse proprio a lui di ricevere un messaggio del genere secondo te cosa potrebbe capitare?

Tenendo conto un altro aspetto da non sottovalutare: i nuovi dipendenti hanno paura di commettere errori ma al contempo non vedono l’ora di fare colpo per dimostrare che assumerli è stata la scelta giusta.

Quindi nel momento in cui dovessero ricevere una richiesta urgente da parte di qualcuno (apparentemente) importante, agirebbero d’istinto mossi dalla pressione di soddisfare immediatamente le volontà di un superiore.

È proprio il senso di urgenza a non consentire di riconoscere un’email di spear-phishing.

Come proteggere i tuoi clienti?

Visto che i pericoli descritti finora si verificano particolarmente nelle PMI, quindi potenzialmente tutto ciò riguarda anche i tuoi clienti, voglio parlarti di come fare a prevenire questo trend e quindi proteggerli.

Un primo passo è quello di aiutare a formare i dipendenti dei tuoi clienti sui pericoli del web, per esempio  con campagne di phishing simulato.

Si tratta di un’attività relativamente semplice che consiste nel creare una sequenza pilotata, più o meno lunga, di email di phishing e quindi fasulle per indurre i dipendenti ad aprirle e fare click sui link che si trovano all’interno. Il contenuto delle email può essere di vario tipo, per esempio può riguardare delle promozioni, il cambio dell’IBAN di un vostro fornitore, la segnalazione di un pacco in giacenza presso un corriere o ancora la richiesta urgente di eseguire un bonifico da parte di un superiore.

Le email in realtà non sono davvero pericolose, se un dipendente clicca su un link o esegue l’azione richiesta nel messaggio non succede nulla di grave. Sullo schermo del pc comparirà un avviso con il quale verrà segnalato che si tratta di un’azione che non andrebbe fatta se nella realtà si dovesse ricevere un’email simile e, inoltre, verrà fornita una panoramica che spiega quali sono i pericoli e le insidie che si celano dietro alcuni tipi di email.

In secondo luogo è importante proporre soluzioni informatiche all’avanguardia. I tradizionali filtri antispam o gateway di sicurezza non bastano a contrastare questo tipo di attacchi perché si basano sul monitoraggio di minacce già note, il phishing e lo spear-phishing spesso non ne fanno parte.

Un esempio?

Vade Secure è la soluzione di sicurezza per le email integrata in Microsoft 365 che, sfruttando l’intelligenza artificiale e il macchine learning, riesce a contrastare anche le email di phishing più avanzate.

Guarda il Webinar On Demand che abbiamo preparato per te e scopri di più!

Tratto dal blog di Vade Secure

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.