Truffa sulla richiesta di autorizzazione del dipartimento delle risorse umane

È fondamentale prestare attenzione quando si leggono messaggi di lavoro, soprattutto perché i criminali informatici si spacciano sempre più per reparti interni per accedere a informazioni sensibili. Uno degli esempi più recenti di questa tattica è la truffa "HR Department Authorization Request", un'operazione di phishing concepita per rubare le credenziali degli account e compromettere i sistemi aziendali.

Un messaggio ingannevole mascherato da HR

Le email fraudolente esaminate dai ricercatori di sicurezza si spacciano per notifiche interne provenienti dal reparto Risorse Umane di un'azienda. Sono presentate come aggiornamenti relativi a una fase imminente di sviluppo del personale e sostengono che il destinatario debba esaminare nuove strutture retributive, revisioni delle politiche sulle ferie e adeguamenti salariali. L'oggetto spesso assomiglia a "Richiesta di autorizzazione HR: aggiornamenti delle politiche per il 2025", sebbene la formulazione esatta vari.

Nonostante il tono convincente, ogni affermazione contenuta in questi messaggi è inventata. Le email non sono associate al datore di lavoro del destinatario, al suo ufficio risorse umane o ad alcuna azienda, organizzazione o fornitore di servizi legittimo. Piuttosto, fungono da esche progettate per spingere i destinatari verso pagine di phishing che imitano i portali di accesso alle email. Questi siti falsificati sono creati per catturare le password e garantire ai truffatori l'accesso completo agli account di lavoro.

Perché i criminali informatici prendono di mira gli account aziendali

Ottenere l'accesso all'account di un dipendente è estremamente prezioso per gli aggressori. Le comunicazioni aziendali spesso contengono dati riservati, dettagli operativi, registri finanziari e link di accesso ai servizi interni. Una volta ottenute queste credenziali, i criminali possono sfruttarle per scopi dannosi diretti o venderle ad altri autori di minacce.

Rischi creati dagli account compromessi

• Esposizione di informazioni aziendali sensibili e aumento del rischio di epidemie di malware, tra cui infezioni da ransomware o trojan
• Accesso non autorizzato a piattaforme connesse come cloud storage, strumenti di condivisione file, sistemi di gestione dei progetti o account di social media aziendali

Con l'accesso giusto, i truffatori possono impersonare la vittima per richiedere denaro, condividere file dannosi o diffondere contenuti fraudolenti a colleghi, partner e clienti.

Possibili conseguenze di un attacco riuscito

• Furto finanziario, transazioni fraudolente o uso improprio di portafogli digitali
• Frode di identità e sostituzione di persona
• Impatti sulla privacy a lungo termine e potenziali violazioni dei dati aziendali

Le tattiche dietro queste email di phishing

Sebbene molti si aspettino che lo spam sia pieno di errori evidenti, queste truffe sono spesso curate e scritte in modo professionale. Imitano intenzionalmente il tono e il branding aziendale per apparire autentici. Gli aggressori distribuiscono queste email per promuovere diverse forme di frode e per diffondere malware tramite allegati dannosi o link incorporati.

I file dannosi utilizzati in queste campagne possono includere programmi eseguibili, archivi, documenti, file JavaScript o altri formati. Alcuni di essi si attivano automaticamente all'apertura, mentre altri richiedono un'interazione, come l'attivazione di macro nei file di Office o il clic su elementi incorporati nei documenti di OneNote.

Cosa succede alle vittime

Chi cade vittima della truffa della richiesta di autorizzazione al Dipartimento Risorse Umane rischia di subire danni a cascata. Le credenziali rubate offrono ai criminali l'opportunità di infiltrarsi in reti più ampie, rubare dati aggiuntivi e avviare la distribuzione di malware. I danni che ne derivano includono spesso violazioni della privacy, compromissione del sistema, perdite finanziarie e furto di identità.

Se qualcuno ha già fornito i dettagli del proprio account, è necessario intervenire immediatamente. Si consiglia vivamente di aggiornare le password di tutti gli account potenzialmente interessati e di contattare i team di supporto ufficiali per tali servizi.

Mantenere la vigilanza, anche di fronte a email che sembrano di routine o provenienti da fonti interne, è una delle difese più efficaci contro le moderne minacce di phishing.