Phishing aziendale sotto forma di valutazioni del rendimento

Gli scammer attraggono i dipendenti a un sito di phishing attraverso una valutazione del rendimento, ma quello che fanno davvero è rubare le credenziali degli account aziendali.

Con il fine di ottenere le credenziali degli account aziendali, i cybercriminali stanno ideando nuovi stratagemmi per portare i dipendenti sui siti di phishing. Abbiamo assistito a precedenti campagne di spam che hanno utilizzato inviti su SharePoint e messaggi vocali come esca.

Recentemente, i nostri esperti hanno scoperto un’altra campagna di phishing dove i criminali informatici cercano di imitare il processo di valutazione del rendimento dell’azienda presa di mira . È un duplice attacco: i destinatari ritengono che la valutazione (a) sia obbligatoria e (b) possa portare a un aumento dello stipendio. Vale la pena notare che in alcune aziende tali valutazioni sono parte integrante del processo di revisione salariale ed è per questo motivo che non sollevano alcun sospetto.

Come al solito, tutto inizia con un’e-mail. Un dipendente riceve un messaggio che sembra provenire da Risorse Umane dove si consiglia di effettuare di la valutazione del rendimento. Il testo del messaggio contiene un link ad un sito con una “modulo di valutazione” da compilare.

I nuovi arrivati nel mirino

Secondo le istruzioni, l’utente deve fare clic sul link, effettuare il login, attendere un’e-mail con ulteriori dettagli e selezionare una delle tre opzioni. Per chiunque sia nuovo all’azienda e alla sua procedura di valutazione, questi passaggi potrebbero sembrare convincente. Solo l’indirizzo del sito (che non ha niente a che vedere con le risorse aziendali) potrebbe suscitare sospetti.

Se il dipendente apre il link, vedrà la pagina di accesso a un “Portale di Risorse Umane”. A differenza di molte risorse di phishing destinate a sembrare pagine di login per i servizi alle imprese, questa pagina ha un aspetto piuttosto rudimentale, con uno sfondo brillante monocromatico o uno sfondo gradiente e campi di inserimento dati che coprono la pagina. Per motivi di autenticità, i truffatori invitano l’utente ad accettare l’informativa sulla privacy (senza fornire loro un link a tali documenti).

 

Alla vittima viene chiesto di inserire il suo nome utente, la password e l’indirizzo e-mail. In alcuni casi, i truffatori chiedono di inserire il loro indirizzo di lavoro. Facendo click sul pulsante Accedi o Valutazione, il collaboratore in realtà consegna i suoi dati ai criminali informatici.

A questo punto, è probabile che la “valutazione” si concluda bruscamente. Il collaboratore attenderà (invano) l’arrivo dell’e-mail promessa con ulteriori dettagli. Nel migliore dei casi, potrebbe sospettare che qualcosa non vada e inviare un promemoria all’ufficio del personale vero e proprio, che provvederà a notificare i tecnici di sicurezza informatica. In caso contrario, l’azienda potrebbe impiegare mesi per rilevare il furto di identità.

Furto degli account aziendali: i pericoli

Tutto dipende, ovviamente, da quali tecnologie utilizza l’azienda in questione. Una volta ottenute le credenziali di un dipendente, il cybercriminale potrebbe, ad esempio, inviare e-mail di phishing ad altri dipendenti, partner o clienti dell’azienda come se si trattasse della vittima.

Il cybercriminale, inoltre, potrebbe avere accesso a messaggi o a documenti riservati, il che aumenta le possibilità di successo dell’attacco: i messaggi che sembrano provenire dalla vittima non solo servono per aggirare i filtri anti-spam, ma producono anche un falso senso di sicurezza. In seguito, le informazioni rubate potrebbero essere utilizzate anche per diversi tipi di attacchi mirati contro la stessa azienda, come gli attacchi BEC (Business E-mail Compromise).

Inoltre, i documenti interni e i messaggi dei dipendenti possono essere utilizzati anche per altri scopi, ad esempio per ricatto o per venderli alla concorrenza.

Come difendersi dagli attacchi di phishing

Tali attacchi sfruttano principalmente il fattore umano. Per questo motivo è fondamentale che i collaboratori conoscano le procedure e i processi di sicurezza informatica dell’azienda.

  • Ricordate regolarmente ai dipendenti che devono trattare con cautela i link presenti nelle e-mail, aprendoli solo quando sono certi della loro autenticità;
  • Ricordate al personale di non inserire i dettagli dell’account azienda su nessun sito esterno;
  • Intercettate le e-mail di phishing prima che arrivino alla casella di posta in arrivo dei dipendenti. A tal fine, installate una soluzione di sicurezza a livello di server di posta come Kaspersky Security for Mail Server o Kaspersky Endpoint Security for Business Advanced e il gioco è fatto.
Consigli