I cybercriminali, quando preparano un attacco a un’azienda, a volte frugano nella spazzatura alla ricerca di informazioni utili sulla compagnia. Certo, nella vita reale forse non troveranno un elenco di 50 password nel cestino, così come abbiamo visto nel film Hackers; tuttavia, i criminali informatici potrebbero trovare un sacco di informazioni utili per i loro piani.
Cosa non dovrebbe andare a finire nel cestino della spazzatura?
Nemmeno il rovistatore più ottimista si aspetta di trovare un portfolio di documenti TOP SECRET. In ogni caso, però, non è che ci sia poi tanto bisogno di avere tra le mani dei segreti industriali per minare la reputazione di un’azienda o per orchestrare un attacco mirato. Qualsiasi frammento di informazione (compromettente o no) può servire per raggirare i dipendenti grazie alle tecniche di ingengeria sociale.
Spazzatura compromettente
Partendo dal fatto che un’azienda di solito non getta via alla leggera le prove di un movimento finanziario poco trasparente o un report che conferma i danni ambientali che ha provocato, in realtà il vero pericolo è rappresentato dai dati personali di clienti e dipendenti. Al giorno d’oggi, queste informazioni attirano l’attenzione degli enti regolatori preposti e la fuga di questi dati può portare al pagamento di multe piuttosto salate.
Eppure, continuiamo ad assistere a casi che hanno proprio a che fare con dati personali abbandonati con leggerezza. Nonostante i vari e numerosi avvertimenti, non tutti i dipendenti, ad esempio, si rendono conto che un elenco di indirizzi di consegne di pizze a domicilio contiene informazioni di carattere confidenziale. Per non parlare di documenti ancora più preoccupanti, come le cartelle mediche che contengono i numeri di previdenza sociale dei pazienti, le fatture con le informazioni bancarie dei clienti, scansioni di documenti di identità etc.
Quale tipo di materiale utilizzano i cybercriminali per gli attacchi di ingegneria sociale?
I criminali informatici possono fare tesoro delle informazioni presenti nei documenti di lavoro gettati via, sulle buste da lettera o nei dispositivi digitali.
Documenti di lavoro: anche i documenti che non contengono dati confidenziali possono dare delle piste su cosa stia facendo il team aziendale, la terminologia che utilizza, le procedure impiegate dalla compagnia etc. Armato di informazioni di questo tipo, un cybercriminale può spacciarsi via e-mail o telefono per un membro dello staff, con lo scopo di estorcere ulteriori informazioni o di organizzare un attacco BEC convincente.
Buste da lettera: le lettere indicano sempre mittente e destinatario. Sapere che il dipendente dell’azienda X riceve documenti di lavoro dai rappresentanti della compagnia Y consente ai cybercriminali, ad esempio, di mettersi in contatto con il destinatario con una richiesta convincente di maggiori informazioni o di inviare un link dannoso che serva da conferma di ricevuta di un documento fisico realmente esistente.
Dispositivi digitali: possono essere un’autentica miniera di informazioni. Uno smartphone rotto può contenere messaggi e contatti che possono essere sfruttati per imitare il comportamento dell’ex legittimo propietario. E le chiavette USB o vecchi hard disk possono contenere un’infinità di documenti di lavoro e dati personali.
In generale, persino una confezione di cibo inviato a domicilio su cui è stampato il nome di un dipendente della compagnia può essere un’opportunità per i cybercriminali. Ad esempio, potrebbero inviare un’e-mail di phishing con falsi link a menu speciali o a programmi fedeltà (certo, non è un tattica molto diffusa ma esiste comunque).
Come gettare via la spazzatura senza correre rischi
Innanzitutto, vi consigliamo di eliminare l’uso della carta o di ridurlo il più possibile, soprattutto come mezzo per custodire informazioni. In questo modo, non solo darete una mano al pianeta ma eviterete anche il problema di disfarvene.
Distruggete tutti i documenti cartacei che sono vincolati al lavoro della compagnia. Parliamo proprio di tutti i documenti, non solo di quelli che contengono dati personali. Triturateli tutti, buste da lettere comprese.
I dispositivi digitali (hard disk, chiavette USB) non vanno gettate nella spazzatura. Vanno resi inutilizzabili e poi portati al centro di riciclaggio e smaltimento di apparecchi elettronici. Potete rompere memorie USB o di piccole dimensioni con delle pinze, mentre per gli hard disk potete utilizzare un martello o un trapano. Ricordate che all’interno di ogni telefono c’è una memoria flash, così come un hard disk in ogni computer. Se avete intenzione di gettare tutto, assicuratevi prima che i dati non siano leggibili.
Prima di buttare via imballaggi o confezioni di cibo a domicilio, stracciate e distruggete qualsiasi etichetta su cui siano presenti il nome e l’indirizzo del destinatario.
Ricordate sempre che la sicurezza del vostro business dipende direttamente dal comportamento di ogni dipendente, da chi lavora a contatto diretto con i clienti fino ai dirigenti aziendali, ed è fondamentale che tutti comprendano l’importanza di queste regole, che vanno sempre rispettate. Tutti, indipendentemente dalla posizione all’interno della compagnia, devono essere a conoscenza delle regole di base pratiche per la corretta gestione di informazioni potenzialmente pericolose.