Gli utenti malintenzionati hanno compreso l’efficacia delle strategie utilizzate dai gruppi APT (Advanced Persistent Threat) per raggiungere molti dei loro obiettivi, come ad esempio lo sfruttamento di ransomware per attacchi mirati rivolti alle organizzazioni. Secondo i ricercatori di Kaspersky, un’altra minaccia mirata a cui fare attenzione è il corporate doxing, ovvero la pratica di raccogliere informazioni riservate su un’organizzazione e i suoi dipendenti senza il loro consenso per danneggiarle o trarne profitto. L’incremento di informazioni disponibili al pubblico, i numerosi casi di fuga di dati e lo sviluppo della tecnologia rendono la vita facile agli attaccanti che mirano a truffare i dipendenti per ottenere informazioni riservate o addirittura il trasferimento di denaro.
Uno dei metodi utilizzati per fare doxing contro le organizzazioni è quello chiamato Business Email Compromise (BEC). Si stratta di attacchi mirati in cui i criminali informatici inviano e-mail ai dipendenti fingendosi un collega o comunque un altro dipendente dell’azienda. A febbraio 2021 Kaspersky ha rilevato 1.646 attacchi di questo tipo evidenziando quanto le organizzazioni siano vulnerabili a causa della quantità di informazioni disponibili pubblicamente. Generalmente, lo scopo di questi attacchi è quello di carpire informazioni riservate, come i database dei clienti, o di rubare fondi. Ad esempio, i ricercatori di Kaspersky analizzano regolarmente casi in cui i criminali informatici impersonano un dipendente dell’azienda presa di mira utilizzando email molto simili a quelle reali per ottenere denaro.
Un esempio di attacco di tipo BEC per il furto di dati bancari
Perché questi attacchi possano essere realizzati su larga scala, i criminali informatici devono raccogliere e analizzare le informazioni disponibili pubblicamente, come quelle presenti sui social media. In questo modo, sono in grado di ottenere i nomi e i ruoli dei dipendenti, i loro spostamenti, il periodo di ferie e le relazioni personali.
Gli attacchi BEC sono solo una delle minacce che sfrutta le informazioni disponibili pubblicamente per danneggiare un’organizzazione. La varietà di modi in cui le aziende possono essere vittima di doxing è incredibile e oltre ai metodi più ovvi, come il phishing o la compilazione del profilo dell’azienda grazie alle informazioni raccolte da una fuga di dati, esistono anche approcci più creativi e tecnologici.
Probabilmente una delle strategie di doxing aziendale più comune in questo momento è il furto di identità. Di norma, i doxer si basano sulle informazioni disponibili per profilare dipendenti specifici e poi sfruttare la loro identità. Le nuove tecnologie come il deepfake rendono più facile lo sfruttamento di queste attività, a condizione che ci siano dati pubblici da cui partire. Per esempio, un video deepfake in cui viene mostrato il vero volto di un dipendente potrebbe danneggiare la reputazione dell’azienda coinvolta. Oltretutto, per creare questo tipo di contenuti, agli attaccanti è sufficiente qualche immagine del dipendente e informazioni personali di base. Anche la voce può essere sfruttata: i malintenzionati possono registrare la voce di qualcuno che parla o ha parlato in radio o in qualche podcast per poi copiarla e utilizzala in queste occasioni. Per esempio, potrebbero chiamare la contabilità e richiedere un trasferimento bancario urgente o l’invio del database dei clienti.
“Il doxing aziendale è una minaccia reale per i dati riservati di un’organizzazione e non è, come spesso si crede, un problema solo per gli utenti privati. Il doxing contro le organizzazioni, proprio come quello rivolto alle persone, può portare a perdite finanziarie e di reputazione, e più sensibili sono le informazioni rubate, maggiore sarà il danno. Allo stesso tempo, il doxing è una di quelle minacce che potrebbe essere prevenuta o quantomeno ridotta applicando rigide procedure di sicurezza all’interno dell’azienda”, ha commentato Roman Dedenok, Security Researcher presso Kaspersky.
Maggiori informazioni sui metodi che i doxer usano per prendere di mira le organizzazioni sono disponibili su Securelist. L’intero report è disponibile a questo link.
Al fine di evitare o ridurre al minimo il rischio che un attacco abbia successo, gli esperti di Kaspersky raccomandano di:
⦁ Sensibilizzare i dipendenti sulla necessità di utilizzare solo canali aziendali ufficiali per discutere di questioni legate all’azienda ed evitare i servizi di messaggistica esterni.
⦁ Istruire i dipendenti in materia di cybersecurity. Questo è l’unico modo per contrastare efficacemente le tecniche di social engineering che vengono utilizzate dai criminali informatici. Per farlo, è possibile utilizzare una piattaforma per la formazione online come ⦁ Kaspersky ⦁ Automated⦁ Security Awareness Platform.
⦁ Sensibilizzare i dipendenti sulle principali minacce informatiche. Un dipendente preparato in materia di sicurezza informatica sarà in grado di riconoscere un attacco. Per esempio, se dovesse ricevere un’e-mail da un collega che richiede informazioni, penserà prima a chiamare il collega per avere conferma da lui circa il messaggio.
⦁ Utilizzare tecnologie anti-spam e anti-phishing. Kaspersky fornisce diverse soluzioni di questo tipo, che sono incluse nei seguenti prodotti pensati per il contesto aziendale: ⦁ Kaspersky Security for Microsoft Exchange Servers, ⦁ Kaspersky Security for Linux Mail Server, ⦁ Kaspersky Secure Mail Gateway e il prodotto stand-alone ⦁ Kaspersky Security for Microsoft Office 365.
