Un recente rapporto del team di sicurezza informatica di Google ha rivelato che un gruppo di hacker si è infiltrato nei sistemi Salesforce di almeno 20 aziende tra Stati Uniti ed Europa, fingendosi tecnici del supporto IT. Invece di sfruttare falle nei software, questi criminali si sono basati sull’ingegneria sociale, cioè hanno ingannato i dipendenti con chiamate telefoniche, spacciandosi per personale IT, per ottenere credenziali di accesso o per far collegare applicazioni non autorizzate ai sistemi aziendali.
Questo gruppo, conosciuto come “The Com”, sarebbe formato da hacker provenienti da diverse nazioni, tra cui Stati Uniti, Regno Unito e Paesi dell’Europa occidentale. Dopo aver avuto accesso ai sistemi, gli aggressori hanno sottratto dati sensibili, spesso attendendo anche mesi prima di avanzare richieste di riscatto alle vittime. Salesforce ha confermato che non ci sono vulnerabilità tecniche nei propri servizi che abbiano favorito questi attacchi, sottolineando che si tratta di truffe basate sull’inganno delle persone, non di problemi software, come si legge su livemint.com.
Sebbene gran parte degli attacchi abbia coinvolto aziende del settore retail, il gruppo ha colpito anche altre industrie. Tra le vittime si trovano marchi noti come Marks & Spencer, Adidas e Victoria’s Secret, anche se Google non ha prove concrete che colleghino direttamente “The Com” a questi specifici attacchi.
L’analisi ha, inoltre, messo in evidenza che gli hacker usano tecniche e infrastrutture legate a un altro noto collettivo chiamato Scattered Spider, famoso per imitare il personale IT nelle truffe e per attacchi come il “SIM swapping” (una tecnica per sottrarre criptovalute agendo sui telefoni delle vittime). Questo gruppo si coordina spesso attraverso i social media.
Google invita, dunque, le aziende a potenziare la formazione dei propri dipendenti, aumentando la consapevolezza sui rischi dell’ingegneria sociale, perché anche con le migliori tecnologie di sicurezza, gli attacchi più efficaci sono quelli che sfruttano gli errori o la distrazione delle persone. In altre parole, per difendersi davvero, è fondamentale che il personale sappia riconoscere e non cadere in questi inganni.
