{"id":18118,"date":"2019-10-15T15:34:38","date_gmt":"2019-10-15T13:34:38","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=18118"},"modified":"2019-11-22T10:45:54","modified_gmt":"2019-11-22T08:45:54","slug":"performance-appraisal-spam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/performance-appraisal-spam\/18118\/","title":{"rendered":"Phishing aziendale sotto forma di valutazioni del rendimento"},"content":{"rendered":"

Con il fine di ottenere le credenziali degli account aziendali, i cybercriminali stanno ideando nuovi stratagemmi per portare i dipendenti sui siti di phishing. Abbiamo assistito a precedenti campagne di spam che hanno utilizzato inviti su SharePoint<\/a> e messaggi vocali<\/a> come esca.<\/p>\n

Recentemente, i nostri esperti hanno scoperto un\u2019altra campagna di phishing dove i criminali informatici cercano di imitare il processo di valutazione del rendimento dell\u2019azienda presa di mira . \u00c8 un duplice attacco: i destinatari ritengono che la valutazione (a) sia obbligatoria e (b) possa portare a un aumento dello stipendio. Vale la pena notare che in alcune aziende tali valutazioni sono parte integrante del processo di revisione salariale ed \u00e8 per questo motivo che non sollevano alcun sospetto.<\/p>\n

Come al solito, tutto inizia con un\u2019e-mail. Un dipendente riceve un messaggio che sembra provenire da Risorse Umane dove si consiglia di effettuare di la valutazione del rendimento. Il testo del messaggio contiene un link ad un sito con una \u201cmodulo di valutazione\u201d da compilare.<\/p>\n

I nuovi arrivati nel mirino<\/strong><\/h2>\n

Secondo le istruzioni, l\u2019utente deve fare clic sul link, effettuare il login, attendere un\u2019e-mail con ulteriori dettagli e selezionare una delle tre opzioni. Per chiunque sia nuovo all\u2019azienda e alla sua procedura di valutazione, questi passaggi potrebbero sembrare convincente. Solo l\u2019indirizzo del sito (che non ha niente a che vedere con le risorse aziendali) potrebbe suscitare sospetti.<\/p>\n

Se il dipendente apre il link, vedr\u00e0 la pagina di accesso a un \u201cPortale di Risorse Umane\u201d. A differenza di molte risorse di phishing destinate a sembrare pagine di login per i servizi alle imprese, questa pagina ha un aspetto piuttosto rudimentale, con uno sfondo brillante monocromatico o uno sfondo gradiente e campi di inserimento dati che coprono la pagina. Per motivi di autenticit\u00e0, i truffatori invitano l\u2019utente ad accettare l\u2019informativa sulla privacy (senza fornire loro un link a tali documenti).<\/p>\n

\"\" \u00a0<\/strong><\/p>\n

\"\"<\/p>\n

Alla vittima viene chiesto di inserire il suo nome utente, la password e l\u2019indirizzo e-mail. In alcuni casi, i truffatori chiedono di inserire il loro indirizzo di lavoro. Facendo click sul pulsante Accedi o Valutazione, il collaboratore in realt\u00e0 consegna i suoi dati ai criminali informatici.<\/p>\n

A questo punto, \u00e8 probabile che la \u201cvalutazione\u201d si concluda bruscamente. Il collaboratore attender\u00e0 (invano) l\u2019arrivo dell\u2019e-mail promessa con ulteriori dettagli. Nel migliore dei casi, potrebbe sospettare che qualcosa non vada e inviare un promemoria all\u2019ufficio del personale vero e proprio, che provveder\u00e0 a notificare i tecnici di sicurezza informatica. In caso contrario, l\u2019azienda potrebbe impiegare mesi per rilevare il furto di identit\u00e0.<\/p>\n

Furto degli account aziendali: i pericoli<\/strong><\/h3>\n

Tutto dipende, ovviamente, da quali tecnologie utilizza l\u2019azienda in questione. Una volta ottenute le credenziali di un dipendente, il cybercriminale potrebbe, ad esempio, inviare e-mail di phishing ad altri dipendenti, partner o clienti dell\u2019azienda come se si trattasse della vittima.<\/p>\n

Il cybercriminale, inoltre, potrebbe avere accesso a messaggi o a documenti riservati, il che aumenta le possibilit\u00e0 di successo dell\u2019attacco: i messaggi che sembrano provenire dalla vittima non solo servono per aggirare i filtri anti-spam, ma producono anche un falso senso di sicurezza. In seguito, le informazioni rubate potrebbero essere utilizzate anche per diversi tipi di attacchi mirati contro la stessa azienda, come gli attacchi BEC (Business E-mail Compromise).<\/p>\n

Inoltre, i documenti interni e i messaggi dei dipendenti possono essere utilizzati anche per altri scopi, ad esempio per ricatto o per venderli alla concorrenza.<\/p>\n

Come difendersi dagli attacchi di phishing<\/strong><\/h3>\n

Tali attacchi sfruttano principalmente il fattore umano. Per questo motivo \u00e8 fondamentale che i collaboratori conoscano le procedure e i processi di sicurezza informatica dell\u2019azienda.<\/p>\n