Fai attenzione perché la prossima potresti essere tu!!
È stato hackerato un cliente della nostra casa madre GTI Srl.
Un pesce d’aprile arrivato un po’ in ritardo, ma che ha colpito nel segno di un’azienda di Modena.
Ce ne siamo accorti ieri.
L’arrivo di una e-mail ci ha incuriosito. Era scritta in italiano corretto. Nessun errore grammaticale e ortografico era presente. Nemmeno nello spazio dedicato alla firma, dove si trovano i recapiti aziendali.
Il contenuto principale del corpo e-mail era questo: “In allegato il contratto firmato da “nome dell’azienda che è stata hackerata”, a cui è possibile accedere solo tramite l’indirizzo e-mail del destinatario. Fatemi sapere se notate qualcosa che deve essere modificato.”.
A un primo sguardo, gli elementi per insospettirsi erano quasi pari a zero.
I destinatari erano stati inseriti in copia nascosta. Quindi, chi ha letto l’e-mail si è ritrovato a leggere lo stesso indirizzo e-mail sia nel campo del mittente, sia in quello del destinatario.
Immancabile l’allegato. Che faceva riferimento a un contratto firmato. Un elemento che, nella maggior parte dei casi, avrebbe sollevato poche perplessità.
Eppure, c’era un nonsoché di sospetto in quella e-mail.
Così abbiamo allertato gli amici e colleghi di Cybe – spin-off di GTI e agency di cyber security – per una valutazione.
La diagnosi? Si trattava di un’e-mail di #phishing.
Ed era arrivata a tutti gli indirizzi e-mail del personale aziendale di GTI Srl.
Abbiamo tutti gli elementi per iniziare le attività di indagine, così da far luce sulla questione.
Passa poco tempo e scopriamo che il cliente di GTI ha subito un attacco di #SupplyChain, ovvero l’attaccante ha violato l’infrastruttura IT dell’azienda malcapitata e l’ha sfruttata come vettore di affidabilità per la diffusione di malware.
In questo caso specifico, l’e-mail che trovi tra le foto di questo post è stata inviata da un account reale e legittimo. Un dettaglio che conferisce un altissimo livello di credibilità al messaggio e riduce le difese del destinatario in modo drastico.
NB: Se il messaggio dell’e-mail risulta essere persuasivo, scritto senza errori e arriva da un contatto di un’azienda tua cliente, collaboratrice o fornitrice, si è più propensi a fidarsi e a “eseguire” le azioni che vengono richieste. Dal clic sul link, al download di un allegato.
Il personale di GTI conosce queste dinamiche, poiché esegue corsi di #CyberSecurityAwareness con costanza; quindi, si riduce di molto il rischio di cadere in trappole simili. Purtroppo, però, la realtà è un’altra: anche i professionisti più esperti possono abbassare la guardia.
Se una sola persona dello staff aziendale GTI avesse cliccato sull’allegato di quella e-mail, il sistema aziendale di GTI si sarebbe infettato. E, le conseguenze sarebbero state disastrose.
Ecco qualche esempio:
- Esecuzione remota di malware, ovvero trojan, info-stealer, ransomware.
- Movimento laterale nella rete una volta infettato un host aziendale.
- Abuso di una relazione di fiducia nella supply chain.
- Possibile esfiltrazione dati o persistence del payload.
- Difficoltà nel bloccare la minaccia, essendo la mail partita da un dominio legittimo.
Quali sono gli indicatori tecnici e i segnali di allerta?
Comportamento
- Mittente legittimo
- Allegato sospetto
- Link esterno
- Linguaggio perfetto e formale
- Nessun antivirus allarme
Dettaglio Tecnico
- E-mail da dominio reale del fornitore
- File apparentemente PDF, ma con comportamento anomalo
- Dominio mascherato, non aziendale, spesso russo
- Nessun errore grammaticale o lessicale
- File potenzialmente polimorfico o ben camuffato
