Phishing: il pericolo viene anche dalle valutazioni del rendimento

Gli esperti di Kaspersky Lab hanno scoperto una campagna di phishing dove i criminali informatici imitano il processo di valutazione del rendimento dell’azienda presa di mira

phishing

Recentemente gli esperti di Kaspersky Lab hanno scoperto una campagna di phishing dove i criminali informatici cercano di imitare il processo di valutazione del rendimento dell’azienda presa di mira. È un duplice attacco visto che i destinatari ritengono che la valutazione sia obbligatoria e che, al tempo stesso, possa portare a un aumento dello stipendio. Vale la pena notare che in alcune aziende tali valutazioni sono parte integrante del processo di revisione salariale ed è per questo motivo che non sollevano alcun sospetto.

Come al solito, tutto inizia con un’e-mail. Un dipendente riceve un messaggio che sembra provenire dalle Risorse Umane dove si consiglia di effettuare di la valutazione del rendimento. Il testo del messaggio contiene un link ad un sito con una “modulo di valutazione” da compilare.

Secondo le istruzioni, l’utente deve fare clic sul link, effettuare il login, attendere un’e-mail con ulteriori dettagli e selezionare una delle tre opzioni. Per chiunque sia nuovo all’azienda e alla sua procedura di valutazione, questi passaggi potrebbero sembrare convincenti. Solo l’indirizzo del sito (che non ha niente a che vedere con le risorse aziendali) potrebbe suscitare sospetti.

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication.     SCOPRI DI PIÙ >>

Se il dipendente apre il link, vedrà la pagina di accesso a un Portale di Risorse Umane. A differenza di molte risorse di phishing destinate a sembrare pagine di login per i servizi alle imprese, questa pagina ha un aspetto piuttosto rudimentale, con uno sfondo brillante monocromatico o uno sfondo gradiente e campi di inserimento dati che coprono la pagina. Per motivi di autenticità, i truffatori invitano l’utente ad accettare l’informativa sulla privacy (senza fornire loro un link a tali documenti).

email

Alla vittima viene chiesto di inserire il suo nome utente, la password e l’indirizzo e-mail. In alcuni casi, i truffatori chiedono di inserire il loro indirizzo di lavoro. Facendo click sul pulsante Accedi o Valutazione, il collaboratore in realtà consegna i suoi dati ai criminali informatici.

A questo punto, è probabile che la “valutazione” si concluda bruscamente. Il collaboratore attenderà (invano) l’arrivo dell’e-mail promessa con ulteriori dettagli. Nel migliore dei casi, potrebbe sospettare che qualcosa non vada e inviare un promemoria all’ufficio del personale vero e proprio, che provvederà a notificare i tecnici di sicurezza informatica. In caso contrario, l’azienda potrebbe impiegare mesi per rilevare il furto di identità.

Tutto dipende, ovviamente, da quali tecnologie utilizza l’azienda in questione. Una volta ottenute le credenziali di un dipendente, il cybercriminale potrebbe, ad esempio, inviare e-mail di phishing ad altri dipendenti, partner o clienti dell’azienda come se si trattasse della vittima.

Il cybercriminale, inoltre, potrebbe avere accesso a messaggi o a documenti riservati, il che aumenta le possibilità di successo dell’attacco: i messaggi che sembrano provenire dalla vittima non solo servono per aggirare i filtri anti-spam, ma producono anche un falso senso di sicurezza. In seguito, le informazioni rubate potrebbero essere utilizzate anche per diversi tipi di attacchi mirati contro la stessa azienda, come gli attacchi BEC (Business E-mail Compromise). Inoltre, i documenti interni e i messaggi dei dipendenti possono essere utilizzati anche per altri scopi, ad esempio per ricatto o per venderli alla concorrenza.

Tali attacchi sfruttano principalmente il fattore umano. Per questo motivo è fondamentale che i collaboratori conoscano le procedure e i processi di sicurezza informatica dell’azienda. A tal proposito Kaspersky Lab consiglia di:

  • Ricordare regolarmente ai dipendenti che devono trattare con cautela i link presenti nelle e-mail, aprendoli solo quando sono certi della loro autenticità
  • Ricordare al personale di non inserire i dettagli dell’account aziendale su nessun sito esterno
  • Intercettare le e-mail di phishing prima che arrivino alla casella di posta in arrivo dei dipendenti. A tal fine, installate una soluzione di sicurezza a livello di server di posta.