Cinque cyberattacchi che prendono di mira i reparti marketing

Scopri perché i cybercriminali scelgono di colpire il personale addetto a PR e marketing e, soprattutto, come proteggere la tua attività dai danni finanziari e per la reputazione.

Quando si tratta di attacchi alle aziende, l’attenzione si concentra solitamente su quattro aspetti: finanza, proprietà intellettuale, dati personali e infrastruttura IT. Tuttavia, non dobbiamo dimenticare che i cybercriminali possono anche prendere di mira le risorse aziendali gestite da PR e marketing, inclusi messaggi e-mail, piattaforme pubblicitarie, canali di social media e siti promozionali. A prima vista, potrebbero sembrare poco interessanti per i malintenzionati (“dov’è il guadagno?”). In pratica, però, tutto può essere utile ai cybercriminali per le loro “attività di marketing”.

Malvertising

Con grande sorpresa di molti (persino degli stessi esperti di sicurezza informatica), i cybercriminali usano attivamente la pubblicità legittima a pagamento ormai da diversi anni. In un modo o nell’altro, pagano per banner pubblicitari e posizionamenti nei motori di ricerca e utilizzano strumenti di promozione aziendale. Ci sono molti esempi di questo fenomeno, che va sotto il nome di malvertising (pubblicità dannosa). Di solito, i cybercriminali pubblicizzano pagine false di app popolari, campagne promozionali false di marchi famosi e altri schemi fraudolenti rivolti a un vasto pubblico. A volte gli autori delle minacce creano un proprio account pubblicitario e pagano per la pubblicità, ma questo metodo lascia troppe tracce (come i dettagli di pagamento). Un altro metodo è più attraente per loro: rubare le credenziali di accesso e hackerare l’account pubblicitario di un’azienda legittima, quindi promuovere i propri siti attraverso di essa. Questo ha un doppio vantaggio per i cybercriminali: possono spendere il denaro degli altri senza lasciare tracce. Tuttavia l’azienda vittima, oltre a un account pubblicitario violato, ha un problema dopo l’altro, incluso il potenziale blocco della piattaforma pubblicitaria per la distribuzione di contenuti dannosi.

Recensioni negative e perdita di follower

Una variazione dello schema precedente è la violazione degli account pubblicitari a pagamento dei social network. Le specifiche delle piattaforme di social media creano ulteriori problemi per l’azienda presa di mira.

In primo luogo, l’accesso agli account dei social media aziendali è generalmente legato agli account personali dei dipendenti. Spesso gli autori degli attacchi compromettono il personal computer di un inserzionista o rubano la password dei social network per accedere non solo ai Mi piace e alle foto dei gatti, ma anche all’ambito di azione concesso dall’azienda per cui la persona lavora. Ciò include la pubblicazione di contenuti sulla pagina del social network dell’azienda, l’invio di e-mail ai clienti tramite il meccanismo di comunicazione integrato e la visualizzazione di pubblicità a pagamento. Revocare queste funzioni a un dipendente compromesso è facile, a condizione che non sia l’amministratore principale della pagina aziendale, nel qual caso il ripristino dell’accesso richiederà molto tempo.

In secondo luogo, la maggior parte della pubblicità sui social network assume la forma di “post sponsorizzati” creati per conto di una determinata azienda. Se un utente malintenzionato pubblica e promuove un’offerta fraudolenta, il pubblico vede immediatamente chi l’ha pubblicata e può esprimere le proprie lamentele direttamente sotto il post. In questo caso, l’azienda subirà un danno molto visibile per la reputazione, non solo finanziario.

In terzo luogo, sui social network molte aziende salvano “segmenti di pubblico personalizzati”, ovvero raccolte pronte all’uso di clienti interessati a vari prodotti e servizi o che hanno già visitato il sito Web dell’azienda. Sebbene questi dati in genere non possano essere estratti (cioè rubati) da un social network, sfortunatamente è possibile sfruttarli per creare malvertising sulla base di un pubblico specifico e quindi più efficace.

Circolari fuori programma

Un altro modo efficace per i criminali informatici di ottenere pubblicità gratuita è violare un account su un provider di servizi e-mail. Se l’azienda violata è abbastanza grande, potrebbe avere milioni di abbonati nella sua mailing list.

Questo accesso può essere sfruttato in vari modi: inviando un’irresistibile offerta falsa agli indirizzi e-mail nel database degli abbonati, sostituendo di nascosto i collegamenti nelle e-mail pubblicitarie pianificate o semplicemente scaricando il database degli utenti registrati per inviare loro e-mail di phishing in altri modi in seguito.

Ancora una volta, il danno subito è finanziario, a livello di reputazione e tecnico. Per “tecnico” si intende il blocco dei futuri messaggi in entrata da parte dei server di posta. In altre parole, dopo gli invii di messaggi dannosi, l’azienda vittima dovrà risolvere i problemi non solo con la piattaforma di posta elettronica, ma anche con gli eventuali provider di posta elettronica che l’hanno bloccata come fonte di messaggi fraudolenti.

Un effetto collaterale molto sgradevole di un attacco di questo tipo è la divulgazione dei dati personali dei clienti. Questo è un incidente di per sé, in grado di infliggere non solo danni per la reputazione, ma anche di comportare sanzioni da parte delle autorità di regolamentazione della protezione dei dati.

Cinquanta sfumature di siti Web

La violazione di un sito Web può passare inosservata per molto tempo, soprattutto per una piccola azienda che opera principalmente tramite i social network o offline. Dal punto di vista dei criminali informatici, gli obiettivi dell’hacking di un sito Web variano a seconda del tipo di sito e della natura dell’attività dell’azienda. Tralasciando i casi in cui la compromissione del sito Web fa parte di un attacco informatico più sofisticato, in generale possiamo identificare le seguenti tipologie.

In primo luogo, gli autori delle minacce possono installare uno skimmer Web in un sito di e-commerce. Si tratta di un piccolo codice JavaScript, ben nascosto e incorporato direttamente nel codice del sito Web, che ruba i dettagli della carta quando i clienti effettuano il pagamento per un acquisto. Il cliente non ha bisogno di scaricare o eseguire nulla: paga semplicemente per i beni o i servizi sul sito e gli autori degli attacchi sottraggono il denaro.

In secondo luogo, gli autori degli attacchi possono creare sottosezioni nascoste nel sito e riempirle con contenuti dannosi a loro scelta. Tali pagine possono essere utilizzate per un’ampia varietà di attività criminali, che si tratti di omaggi falsi, vendite fraudolente o distribuzione di software con Trojan. L’utilizzo di un sito Web legittimo per questi scopi è l’ideale, a condizione che i proprietari non si accorgano di avere “ospiti”. Esiste, di fatto, un intero settore incentrato su questa pratica. Particolarmente popolari sono i siti non presidiati creati per una campagna di marketing o un evento occasionale e poi dimenticati.

Il danno per un’azienda causato da un attacco a un sito Web è di vasta portata e include: aumento dei costi relativi al sito a causa del traffico dannoso, diminuzione del numero di visitatori reali per via del calo del ranking SEO del sito, potenziali problemi con i clienti o le forze dell’ordine per addebiti imprevisti sulle carte dei clienti.

Moduli Web manomessi

Anche senza hackerare il sito Web di un’azienda, gli autori delle minacce possono utilizzarlo per i propri scopi. Tutto ciò di cui hanno bisogno è una funzione del sito Web che generi un’e-mail di conferma: un modulo di feedback, un modulo per prenotare appuntamenti e così via. I criminali informatici utilizzano sistemi automatizzati per sfruttare tali moduli per lo spamming o il phishing.

Il meccanismo è semplice: l’indirizzo del destinatario viene inserito nel modulo come e-mail di contatto, mentre il testo dell’e-mail fraudolenta è immesso nel campo Nome o Oggetto, ad esempio “Il tuo trasferimento di denaro è pronto per l’emissione (collegamento)”. Di conseguenza, la vittima riceve un’e-mail dannosa con un testo del tipo: “Gentile XXX, il tuo trasferimento di denaro è pronto per l’emissione (collegamento). Grazie per averci contattato. Ti ricontatteremo al più presto”. Naturalmente, le piattaforme anti-spam alla fine smettono di far passare tali messaggi e-mail e il modulo dell’azienda vittima perde parte della sua funzionalità. Inoltre, tutti i destinatari di tale messaggio di posta perdono fiducia nell’azienda, equiparandola a uno spammer.

Come proteggere le risorse PR e di marketing dagli attacchi informatici

Poiché gli attacchi descritti sono piuttosto diversi, è necessaria una protezione approfondita. Ecco i passaggi da eseguire:

  • Conduci una formazione sulla cybersecurity awareness per tutto il reparto marketing. Ripetila regolarmente.
  • Assicurati che tutti i dipendenti aderiscano alle best practice per le password: password lunghe e univoche per ciascuna piattaforma e utilizzo obbligatorio dell’autenticazione a due fattori, in particolare per i social network, gli strumenti di mailing e le piattaforme di gestione degli annunci.
  • Elimina la pratica dell’utilizzo di un’unica password per tutti i dipendenti che necessitano di accesso a un social network aziendale o a un altro strumento online.
  • Richiedi ai dipendenti di accedere agli strumenti di mailing/pubblicità e al pannello di amministrazione del sito Web solo da dispositivi di lavoro dotati di una protezione completa, in linea con gli standard aziendali (EDR o Internet Security, EMM/UEM, VPN).
  • Invita i dipendenti a installare una protezione completa sui loro computer e smartphone.
  • Introduci la pratica del logout obbligatorio dalle piattaforme di mailing/pubblicità e da altri account simili quando non in uso.
  • Ricorda di revocare l’accesso ai social network, alle piattaforme di mailing/pubblicità e all’amministrazione del sito Web subito dopo che un dipendente ha lasciato l’azienda.
  • Esamina regolarmente gli elenchi di messaggi e-mail inviati e gli annunci attualmente visualizzati, oltre a condurre analisi dettagliate sul traffico del sito Web, in modo da individuare tempestivamente le anomalie.
  • Assicurati che tutto il software utilizzato nei tuoi siti Web (sistema di gestione dei contenuti e relative estensioni) e nei computer di lavoro (come sistema operativo, browser e Office) sia regolarmente e sistematicamente aggiornato alle versioni più recenti.
  • Collabora con il fornitore che si occupa dell’assistenza per il sito Web per implementare la convalida e la sanificazione dei moduli (in particolare, per garantire che non possano essere inseriti collegamenti in campi che non sono destinati a tale scopo). Imposta anche un “limite di velocità” per evitare che lo stesso autore dell’attacco effettui centinaia di richieste al giorno, oltre a un captcha avanzato per proteggerti dai bot.

 

Consigli