Le “balene” vanno preservate:
come impedire che le truffe ai danni dei responsabili aziendali abbiano successo!
Le “balene” vanno preservate:
come impedire che le truffe ai danni dei responsabili aziendali abbiano successo!
Il problema è che c’è SEMPRE il rischio di cadere vittima di truffe, almeno di quelle più intelligenti. Questi spietati truffatori sono ovunque, e cercano incessantemente di acquisire informazioni sensibili e individuare i nostri punti deboli. Una delle loro strategie più subdole è nota con il termine di WHALE PHISHING.
Questa tecnica si basa sull’idea che, se l’obiettivo è quello di sottrarre denaro o informazioni a un’azienda, il modo migliore per farlo è attraverso le sue figure chiave (dai CEO ai CFO fino ai responsabili di reparto di tutti i livelli). Infatti, gli executive e i responsabili spesso hanno il potere di autorizzare pagamenti verso l’esterno e dispongono di informazioni aziendali sensibili che possono essere sottratte e “tenute in ostaggio” in attesa del riscatto.
Il primo passo di un autore di whale phishing è quello di identificare i ruoli con autorità sufficiente per agire unilateralmente. Successivamente, metterà in atto la truffa fingendosi per una persona importante: un dirigente della stessa azienda o un’entità esterna, ad esempio un creditore, un cliente, le forze dell’ordine o un’autorità fiscale
Una volta individuata la vittima, l’autore di whale phishing comincia il vero lavoro. Può utilizzare un attacco di e-mail spoofing, ossia impersonificare una persona fidata modificando i metadati di un’e-mail per creare un indirizzo falso che sembri perfettamente legittimo.
I malintenzionati sono bravissimi a identificare le procedure aziendali e a inviare messaggi appositamente predisposti e plausibili.
Il contenuto dell’e-mail di whale phishing viene spesso scritto per creare un falso senso di urgenza o di minaccia per l’organizzazione. Ad esempio, potrebbe informare la vittima in merito a una violazione del sistema IT o di un computer aziendale, chiedendo quindi di scaricare un allegato anti-malware per bloccare l’attacco, mentre in realtà l’allegato stesso contiene un codice malware. In altri casi, l’autore dell’attacco potrebbe chiedere alla vittima di pagare urgentemente un cliente o creditore (falso) o di compilare un modulo online per ragioni giuridiche (fornendo così informazioni riservate).
L’ansia innescata da una finta minaccia tende a far agire la vittima in modo incauto e avventato: la capacità di analizzare in modo critico un evento viene smorzata in presenza di situazioni stressanti. Inoltre, se veramente si ritiene che le false istruzioni provengano da figure dirigenziali o giuridiche, si sarà ancora più propensi a rispondere senza alcuna esitazione.
Deeply fake
L’enorme diffusione dell’intelligenza artificiale ha fornito ai criminali un’enorme serie di strumenti per realizzare il furto d’identità, persino in videochiamate dal vivo. Utilizzando le riprese video e audio esistenti della persona che si sta impersonificando, l’autore dell’attacco è in grado di creare un filtro “deep fake” del viso e della voce di quella persona durante una chiamata Zoom o Teams, sulla scia del famoso “filtro del gatto” impiegato accidentalmente da un giudice statunitense durante un’udienza da remoto del 2021. La differenza ora è che questi filtri deep fake presentano un livello di precisione impressionante. In un recente caso occorso a Hong Kong quest’anno, un operatore finanziario di un’azienda multinazionale è stato vittima di una serie di chiamate Zoom “deep fake” con le quali è stato convinto a pagare 25 milioni di dollari a un gruppo di hacker.
Se si riceve una richiesta urgente, è opportuno fermarsi un attimo per comprendere ciò che viene chiesto.
Il principio dei “quattro occhi”, ossia una seconda opinione da parte di un collega, è sempre efficace. Per verificare la legittimità della richiesta, è opportuno contattare direttamente l’apparente mittente al telefono o, se necessario, attraverso piattaforme gestite dall’azienda come Teams (evitando strumenti non attendibili come WhatsApp o Zoom). Scegliere sempre un’interazione faccia a faccia, se possibile: è meglio ritardare qualche minuto il completamento dell’attività che cadere vittima della frode.
E in caso di incidenti, segnalali prontamente al nostro reparto IT locale al nostro team di sicurezza informatica (phishingreport@sappi.com).