SICUREZZA

La nuova arma degli hacker? I curriculum nelle e-mail

Tono amichevole, allegato malevolo in formato doc e contenuto credibile. Così messaggi di posta elettronica con finte autocandidature e richieste dai colleghi si trasformano in danni ingenti per le aziende. L’allarme degli esperti di Barracuda Networks

03 Feb 2017

Andrea Frollà

Ormai non ci si può fidare nemmeno delle e-mail con i curriculum. Dopo i messaggi scritti in aramaico con offerte strabilianti di prestiti da gente improbabile o di incredibili e inaspettate vittorie a lotterie che nemmeno esistono, gli hacker hanno trovato un’altra esca per portare a termine gli attacchi informatici e penetrare i sistemi dei poveri malcapitati. Al cybercrime la fantasia non manca e la minaccia individuata dalla compagnia Barracuda Networks e spiegata nella rubrica mensile Threat Spotlight del suo blog ne è solo l’ultima dimostrazione.

A fine 2016, nell’arco di tempo di due settimane una sua azienda cliente ha ricevuto cinque curriculum vitae in formato doc e apparentemente credibili. Il numero di e-mail può sembrare esiguo, ma basta aprirne una per compromettere la credibilità, bloccare la rete o perdere grosse somme di denaro. Scaricando il file si innesca un’operazione molto pericolosa: scaricava ed eseguiva uno script visual basic, importava e lanciava funzioni esterne dal web, creava una shell e si connetteva a un server remoto cercando di eludere l’antivirus presente nel computer.

Le email avevano uno stile amichevole ed erano scritte in modo da sembrare inviate da un dipendente che chiede a un altro collega un parere su un CV. In tutti i casi, le email sono state aperte dai destinatari perché ritenevano fosse un normale curriculum inviato per visione proprio a loro. E ogni attacco aveva origine da una mail diversa e ognuna era inviata a un diverso dipendente. Due di questi erano assistenti amministrativi, uno era un contabile e gli altri due degli affari generali.

Ciò segue uno schema noto, in cui gli hacker non devono necessariamente raggiungere account sensibili come i top manager o qualcuno dell’IT. Essi cercano piuttosto di colpire l’anello debole in termini di sicurezza e un utente inconsapevole si presta allo scopo. Dopo avere infettato un account o un endpoint, essi tipicamente procedono a infettare dall’interno il resto dell’organizzazione. Esistono tipicamente due modi di operare: dopo avere infettato un account (ad esempio mediante il CV) una nuova minaccia viene inviata a un’altra persona usando la sua email; un account viene infettato e per suo tramite si individua chi in azienda si occupa di bonifici, fatture o altro. Queste informazioni sono quindi utilizzate per lanciare un attacco phishing mirato. Così un curriculum via posta elettronica riesce ad aprire una breccia nelle difese informatiche di un’azienda. Azienda avvisata, mezza salvata.