26.09.2023 - La comunicazione con la clientela è un elemento centrale di ogni impresa, come peraltro ricordato dal motto «il cliente è re». Esse si impegnano quindi per soddisfare tutte le richieste. Tuttavia, questo proposito viene regolarmente sfruttato anche dagli hacker. La settimana scorsa è stato segnalato all’NCSC un caso particolarmente astuto. Consigliamo quindi a tutte le imprese di valutare attentamente quali dati aziendali pubblicare sul proprio sito web, perché possono essere sfruttati sia per le frodi che per il phishing.
Wedding planner nel mirino del phishing
Nel caso in esame, segnalato all’NCSC la settimana scorsa, è iniziato tutto con una normalissima richiesta a un wedding planner. I promessi sposi, residenti all’estero, volevano trascorre il giorno più bello della loro vita in uno dei luoghi più belli della Svizzera. La presunta coppia si è complimentata con il wedding planner per i servizi che offriva, da un lato, per creare un’atmosfera positiva e, dall’altro, per dare l’impressione di non averlo trovato per caso ma di aver consultato a lungo il suo sito web. Il matrimonio era annunciato per la fine del 2024. Il termine era stato fissato con largo anticipo per aumentare le chance che il wedding planner fosse ancora libero e che le tempistiche risultassero plausibili. I promessi sposi hanno anche parlato di un gran numero di invitati all’evento. La richiesta con informazioni così dettagliate sembrava allettante, così la potenziale vittima ha accettato l’incarico.
Dopo un primo riscontro positivo, la coppia ha chiesto in un’e-mail di discutere i passi successivi via Zoom, in modo da consolidare la fiducia. Il messaggio in questione rimandava però anche a un allegato in cui erano incluse altre informazioni sul budget a disposizione e suoi piani per l’evento. Il documento non era però allegato, ma doveva essere aperto tramite un link a «One Drive».
Le richieste di questo tipo sono pensate ad arte utilizzando l’ingegneria sociale ed è quindi molto difficile capire che di tratta di un inganno. È però necessario prestare la massima attenzione perlomeno quando si scarica il file. Infatti il link non porta direttamente al documento, ma a un sito di phishing che chiede di inserire le credenziali del proprio account e-mail, con le quali i truffatori possono accedere, ad esempio, a tutte le comunicazioni via e-mail tra l’impresa e la sua clientela.
Il grande impegno dei truffatori dimostra quanto sia diventato interessante ottenere i dati d’accesso degli account aziendali, che permettono di commettere ulteriori frodi, come l’invio di fatture manipolate con IBAN fasulli o la diffusione mirata di malware.
Se i truffatori sfruttano i siti web delle imprese
In un secondo caso i truffatori hanno cercato di convincere i collaboratori di un’impresa a scaricare un documento, sempre con il pretesto di una richiesta da parte di un cliente. Questa volta però l’e-mail non veniva direttamente da un cliente, ma risultava essere stata inoltrata a vari collaboratori dal capo della logistica, con tanto di nome, cognome, funzione e numero di telefono. Tuttavia, l’indirizzo del mittente e l’e-mail erano fasulli. Anche in questo caso, per scaricare il documento era necessario inserire i dati d’accesso del proprio account e-mail in una pagina di phishing.
Inizialmente l’NCSC ha ipotizzato che fosse stato violato un account aziendale, ma in seguito è emerso chiaramente che le informazioni erano state prese dal sito Internet dell’impresa, dove sono presenti tutti i dati, compresi nomi, funzioni, indirizzi e-mail e persino numeri di telefono.
Molte imprese inseriscono queste informazioni nelle pagine web del proprio team. Finora questi dati erano stati utilizzati principalmente per le truffe del CEO, ma, come dimostrano gli esempi di cui sopra, possono essere sfruttati anche per attacchi di phishing mirati.
In entrambi i casi, i collaboratori attenti hanno evitato il peggio. Questo mostra quanto sia importante sensibilizzare il personale sulla cibersicurezza.
- Non inserite mai informazioni personali come credenziali, password o dati della carta di credito su un sito Internet aperto tramite un link ricevuto via e-mail o SMS;
- Valutate con attenzione quali informazioni concernenti l’impresa e i collaboratori volete pubblicare sul vostro sito;
- Sensibilizzate regolarmente i vostri collaboratori sulle ciberminacce.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 26.09.2023