Attacchi cyber alle aziende nel periodo Natalizio, come difendersi.

Da sempre, il periodo natalizio porta una proliferazione dei tentativi di truffa online, dovuta al vertiginoso aumento degli acquisti digitali, principalmente per lo shopping natalizio, ma anche per gli acquisti relativi a viaggi e vacanze. Tali attività portano ad un maggiore uso di Internet per lo shopping online e all’inevitabile condivisione di dati sensibili, quali le informazioni di pagamento, gli indirizzi di casa o i numeri di telefono ai vari portali e alle piattaforme di prenotazione.

Questi giorni di shopping frenetico e di spensieratezza sono una manna dal cielo anche per i cybercriminali che, giocando sui grandi numeri e sfruttando il calo di attenzione, sferrano attacchi ransomware e di phishing.

Una recente ricerca svolta da CheckPoint Software ha evidenziato che in questo periodo sono aumentati vertiginosamente i tentativi di truffa attraverso file malevoli, distribuiti principalmente a mezzo di e-mail fasulle relative a spedizioni e consegne di merce ordinata online; allo stesso tempo è aumentato il numero di portali fasulli per lo shopping online utilizzati come specchi per le allodole nelle frodi di phishing.

Uno dei metodi più famosi con cui i cybercriminali attuano i loro tentativi di frode informatica durante il periodo precedente le feste natalizie è, appunto, inviando email di phishing che fingono di provenire da negozi online o da aziende di trasporti. Questi messaggi contengono dei collegamenti a finti siti web e portali sui quali l’utente ignaro inserisce le proprie informazioni private.

Un altro metodo comune di frode informatica è l’invio di una mail fasulla che finge di provenire da uno spedizioniere. Al messaggio, formattato per imitare un vero servizio di spedizioni, è allegato un file contenente “informazioni per il tracciamento del pacco” che, se aperto, può attivare un ransomware che danneggia il computer dell’utente rendendo illeggibili tutti i dati. L’utente vittima del ransomware sarà costretto a pagare un riscatto in bitcoin per “liberare” i dati del suo computer.

I rischi per le aziende

I rischi legati alle truffe informatiche non riguardano solo gli utenti privati impegnati nel rush pre-natalizio, ma coinvolgono in larga misura anche le aziende, che proprio in occasione delle festività riducono drasticamente l’attenzione alla sicurezza. Ciò accade sia perché durante le Feste il personale in azienda è ridotto, sia perché l’attenzione alla sicurezza dei singoli individui è compromessa dall’avvicinarsi delle festività e delle scadenze di fine anno.

I criminali informatici, consapevoli di questo fenomeno, sfruttano il periodo per perpetrare attacchi informatici ai danni delle aziende proprio nel momento in qui queste appaiono più vulnerabili.

I principali metodi di attacco ai danni delle aziende sono:

  • Truffe BEC (Business Email Compromise), in cui gli attaccanti  compromettono l’infrastruttura informatica di un partner esterno all’azienda, solitamente un fornitore, e con sofisticate tecniche di ingegneria sociale inviano mail fasulle, provenienti da un indirizzo email vero e fidato, in cui sollecitano il saldo di una fattura comunicando contestualmente un “cambio di IBAN”. L’utente ignaro potrebbe così corrispondere un pagamento, anche di importi molto elevati, ad un conto bancario riconducibile ai truffatori. Questo tipo di frode è molto pericoloso perché sfrutta le lacune in sicurezza informatica di clienti e fornitori, spesso stranieri, evidenziando che non è sufficiente mettere in sicurezza la propria infrastruttura per stare alla larga dai cyberattacchi.
  • Truffa di tipo “Whaling”, meglio conosciuta come “CEO fraud” o “Truffa del venerdì sera”, in cui l’attaccante riesce ad inviare una email da un indirizzo molto simile o identico a quello del CEO ad un dipendente, spesso una segretaria o un addetto all’ufficio acquisiti, impersonando il CEO stesso ed effettuando delle richieste inusuali (ad esempio pagamenti, modifiche ad informazioni anagrafiche, ecc.) con carattere di estrema urgenza, che il malcapitato dipendente non si sognerebbe mai di contestare. Questi messaggi sono spesso inviati nel tardo pomeriggio del venerdì, quando il CEO è già fuori azienda e non rientrerà fino al lunedì.
  • Ransomware, ovvero file malevoli che se aperti si diffondono a tutta la rete informatica aziendale criptando la maggior parte dei dati e rendendoli inutilizzabili. Questi file sono spesso allegati a “normali” mail provenienti da indirizzi fidati appartenenti a partner commerciali che a loro volta sono stati infettati dal malware. Per questo motivo gli utenti non addestrati tendono a fidarsi e ad aprire i file. Una volta attivo, il ransomware inizierà a criptare tutti i file contenuti nel pc vittima, per poi estendersi all’intera rete aziendale; non da ultimo, il worm potrebbe inviare una mail a tutti i contatti in rubrica (partner, clienti, fornitori), con allegato il file malevolo. Una volta infettato, il pc vittima mostrerà un messaggio con una richiesta di riscatto da corrispondere in criptovaluta per ottenere una chiave per decriptare i file illeggibili. Chiave che spesso, anche dopo il pagamento, non viene consegnata.

Negli ultimi i cyberattacchi alle aziende si sono evoluti, tanto da utilizzare anche tecniche di “deepfake” e intelligenza artificiale: nel 2021 un dipendente di una banca degli Emirati Arabi Uniti ha effettuato un trasferimento di 35 milioni di dollari dopo essere stato ingannato dalla voce clonata di un direttore d’azienda.

Inutile sottolineare che questi tipi di truffa possono arrecare danni estremamente gravi alle aziende, sia in tema di patrimonio che in tema di reputazione e credibilità, e che non è sufficiente mettere in sicurezza l’infrastruttura informatica, ma è necessario implementare misure di sicurezza procedurale e addestrare i dipendenti che hanno accesso alle risorse informatiche dell’azienda. Infine, anche nell’ottica della compliance con gli standard e le normative vigenti, è necessario dotarsi di un sistema integrato di analisi dei rischi di tipo fisico, logico e comportamentale, svolgendo dei security assessment periodici e che si ispirino al cosiddetto “Ciclo di Deming” o ciclo del miglioramento continuo.