L’allarme phishing per i sistemi di gestione delle risorse umane torna periodicamente. Ora lo ha emesso l’FBI, ma la storia ci riporta indietro a due anni fa, quando l’Internal Revenue Service (IRS) statunitense lanciò un avviso ai professionisti delle risorse umane e ai gestori delle buste paga a diffidare di un attacco emergente di e-mail phishing che simulava di provenire da dirigenti aziendali, richiedendo informazioni personali sui dipendenti.
“Nuova svolta di un vecchio schema“, lo definiva l’IRS che sfruttava il momento particolare della stagione fiscale per cercare di indurre le persone a condividere dati personali.
La IRS Criminal Investigation nel tempo ha riesaminato diversi casi in cui le persone sono state indotte a condividere i propri dati in seguito a una email di spoofing, che conteneva il nome effettivo dell’amministratore delegato della società e che richiedeva il riepilogo degli emolumenti di tutti i dipendenti per una rapida revisione.
Ora c’è un nuovo alert, dunque, lanciato dall’FBI. Al riguardo lo specialista di sicurezza, Proofpoint, ha emesso una nota in cui Ryan Kalember, senior vice president of Cybersecurity Strategy della società sottolinea come la segnalazione dell’FBI evidenzi il cambio di rotta delle minacce IT: le persone.
«Quando le aziende migrano dai vecchi sistemi di gestione del personale a nuove soluzioni SaaS – dice – i cybercriminali possono appropriarsi di pagamenti direttamente dal cloud, senza compromettere endpoint o reti. Tutto ciò che serve è un messaggio phishing ben confezionato che finge di provenire da un dipendente e richiede alla divisione buste paga di cambiare il conto bancario di riferimento per l’accredito dello stipendio o di resettare direttamente le credenziali di log-in del payroll».
Si fa troppo affidamento sulle email
Il problema per Kalember è che ci si affida alle email per comunicazioni relative a processi sensibili, «quando l’email è un canale non sicuro di per sè. Gli attacchi phishing via email continueranno a colpire i sistemi aziendali. Sono azioni poco costose e relativamente semplici che possono consentire ai cybercriminali guadagni significativi».
È il classico attacco che segue la regola: persone, processi e tecnologia. Proofpoint consiglia di formare le risorse per riconoscere email phishing; di implementare processi di validazione out-of-band per modificare account bancari di dipendenti e fornitori all’interno delle divisioni amministrative e di definire una strategia di sicurezza multi-livello per bloccare la maggior parte degli accessi ai cybercriminali.
Per quanto riguarda la protezione dei dipendenti, è importante la verifica dell’account di payroll, del conto bancario e degli accrediti regolari dello stipendio. Si consiglia inoltre di non aprire link presenti all’interno di messaggi provenienti dall’ufficio buste paga, ma visitare il sito web ufficiale per accedere alle proprie informazioni.
