Aumento degli attacchi mirati di social engineering ai danni di aziende svizzere

21.08.2014 - La Centrale d’annuncio e d’analisi per la sicurezza dell’informazione MELANI riceve attualmente un numero crescente di comunicazioni concernenti vari tipi di truffa che utilizzano metodi di social engineering attraverso i quali gli aggressori tentano di carpire la fiducia delle loro vittime prima di ingannarle. Ne sono colpite aziende svizzere di dimensioni diverse e dei più svariati settori.

Nei casi che sono stati comunicati gli aggressori si sono innanzitutto procurati informazioni sulle aziende per avere un'idea precisa dell'ambiente dell'obiettivo. Vengono raccolte ad esempio informazioni sui settori di attività, sui posti chiave o sul formato degli indirizzi e-mail. A tale scopo i truffatori si avvalgono tipicamente di informazioni provenienti da fonti aperte, come ad esempio quelle reperibili sul sito Internet dell'azienda. Queste informazioni sono tuttavia in parte anche completate da ricerche attive, nel senso che i truffatori contattano l'azienda telefonicamente o per e-mail al fine di tentare di accedere a informazioni dell'azienda.

Successivamente viene sferrato l'attacco vero e proprio. Solitamente viene inviata un'e-mail a un collaboratore della divisione finanziaria che sembra provenire da un membro dei quadri. Mentre nella maggior parte dei casi gli indirizzi dei mittenti sono falsificati, in alcuni casi le e-mail provengono effettivamente dagli account dei mittenti che gli aggressori hanno attaccato in precedenza. L'e-mail inviata tratta di operazioni finanziarie confidenziali in corso e la vittima viene poi messa in contatto con la «divisone giuridica dell'azienda», incaricata del trattamento dei dati concernenti il versamento. Successivamente i truffatori si spacciano come rappresentanti di questa divisione. I truffatori ribadiscono il carattere unico e la confidenzialità del mandato, ma anche l'urgenza richiesta dalla situazione. In alcuni casi i truffatori tentano di rendere più credibile lo scenario effettuando chiamate telefoniche in parallelo.

Il metodo di social engineering utilizzato in questi casi si prefigge soprattutto di indurre le vittime a effettuare un pagamento su un conto indicato dai truffatori. Sono comunque ipotizzabili anche altri scenari. In questo senso gli aggressori - dopo avere carpito la fiducia delle vittime - possono anche inviare un'e-mail mirata contenente malware oppure un link a un sito contenente malware.

Raccomandazione di MELANI:

  • La regola di base, ossia di non rivelare nessuna informazione interna e di non dare seguito a nessuna richiesta in caso di contatto dubbio o insolito, è più che mai attuale in considerazione dei casi che si sono verificati.

  • In caso di contatto o richiesta insolita è consigliabile consultarsi telefonicamente all'interno dell'azienda per verificare la veridicità del mandato.

  • Tutti i processi riguardanti il traffico dei pagamenti devono essere chiaramente disciplinati all'interno dell'azienda e in ogni caso devono essere sempre rispettati dai collaboratori.

  • MELANI raccomanda in particolare di sensibilizzare i collaboratori, specialmente quelli che occupano posizioni chiave, riguardo a questi eventi.

  • Le vittime hanno la possibilità - soprattutto in caso di successo della truffa - di sporgere denuncia penale presso la competente Polizia cantonale.

Ultima modifica 21.08.2014

Inizio pagina

https://www.melani.admin.ch/content/melani/it/home/dokumentation/bollettino-d-informazione/aumento-degli-attacchi-mirati-di-social-engineering-ai-danni-di-.html