Truffa del rapporto sulle risorse umane

I criminali informatici continuano a sfruttare temi legati al posto di lavoro perché i dipendenti si fidano istintivamente di qualsiasi cosa sembri provenire dai reparti interni. La truffa del rapporto sulle risorse umane è un ottimo esempio di questa tattica. Sebbene i messaggi sembrino professionali e di routine, sono del tutto fraudolenti e creati per raccogliere informazioni sensibili. Queste email non sono collegate ad alcuna organizzazione, azienda o fornitore di servizi legittimo, nonostante sembrino correlate al business.

Un messaggio ingannevole camuffato da aggiornamento delle risorse umane

L'e-mail fraudolenta afferma che il destinatario ha accesso a un nuovo report mensile del proprio reparto Risorse Umane. Secondo il messaggio, questo "report" includerebbe valutazioni delle prestazioni, riepiloghi delle attività, panoramiche dei permessi e persino un elenco delle prossime promozioni. Questi dettagli sono scelti strategicamente, appaiono credibili e probabilmente indurranno i destinatari a cliccare senza esitazione.

In realtà, il messaggio non ha alcuna relazione con il datore di lavoro del destinatario e il rapporto non esiste. Il suo unico scopo è quello di attirare gli utenti verso un portale di phishing progettato per rubare le credenziali di accesso alla posta elettronica.

Il portale dei rapporti falsi

Il link incorporato nell'e-mail indirizza le vittime a una pagina di phishing che imita un gateway di documenti Microsoft Excel. Invece di caricare un file reale, la pagina chiede ai visitatori di verificare la propria identità utilizzando il proprio indirizzo e-mail e la password. Tutto ciò che viene digitato in questo modulo viene silenziosamente intercettato e consegnato agli aggressori.

Poiché gli account aziendali spesso forniscono accesso a sistemi aziendali, unità condivise e piattaforme cloud, queste credenziali sono molto preziose per i truffatori.

Come vengono sfruttati gli account rubati

Una volta che i criminali informatici ottengono l'accesso a un account di posta elettronica, il danno può aumentare rapidamente. Una casella di posta compromessa funge da gateway per più piattaforme connesse e può esporre dati personali o aziendali sensibili. Gli aggressori tentano spesso di muoversi lateralmente all'interno di un'organizzazione utilizzando l'account compromesso come punto d'appoggio, a volte distribuendo malware o ransomware.

Di seguito sono riportati alcuni degli abusi più comuni legati al furto delle credenziali di posta elettronica:

• Accesso non autorizzato ad account collegati, come strumenti di collaborazione, archiviazione cloud, servizi di messaggistica o piattaforme finanziarie
• Infezione delle reti aziendali con trojan, ransomware e altri malware
• Impersonare la vittima per richiedere denaro, prestiti o donazioni
• Distribuzione di file o link dannosi ai contatti
• Effettuare acquisti o transazioni fraudolente utilizzando account finanziari compromessi

Le vittime spesso subiscono gravi violazioni della privacy, ingenti perdite finanziarie, interruzioni del servizio e persino furti di identità.

Perché questa truffa funziona

Il phishing legato al mondo del lavoro ha successo perché molti dipendenti sono abituati a ricevere aggiornamenti dalle risorse umane e documenti interni. Gli aggressori si basano su abitudini digitali di routine e sul presupposto che le comunicazioni interne siano affidabili.

Inoltre, le email di phishing spesso accompagnano campagne di spam più ampie, che potrebbero tentare di raccogliere dati personali, diffondere truffe non correlate o diffondere malware. I messaggi fraudolenti contengono spesso link o allegati progettati per innescare una catena di infezioni.

Come Malspam diffonde il malware

Lo spam dannoso rimane uno dei metodi più comuni per distribuire software dannoso. Gli aggressori utilizzano numerosi formati di file per mascherare i loro payload:

• Documenti come file Microsoft Office, OneNote o PDF
• Archivi come ZIP o RAR, così come file eseguibili, tra cui EXE o RUN
• Script come JavaScript e formati eseguibili simili

Quando un utente apre uno di questi file, l'installazione del malware inizia. Alcuni formati richiedono un passaggio aggiuntivo: ad esempio, i file di Office potrebbero richiedere agli utenti di abilitare le macro, mentre i file di OneNote contengono spesso oggetti incorporati che attivano il payload quando vengono cliccati.

Cosa fare se hai già inserito le tue credenziali

Chiunque abbia fornito i propri dati di accesso tramite la pagina di phishing dovrebbe immediatamente reimpostare le password di tutti gli account che potrebbero essere collegati all'email compromessa. È inoltre importante informare i team di supporto ufficiali dei servizi interessati, in modo che possano contribuire a proteggere l'account e identificare attività non autorizzate.

Rimanere al sicuro

Poiché le email ingannevoli possono essere molto convincenti, è fondamentale prestare attenzione ai messaggi inaspettati. Gli utenti dovrebbero prestare particolare attenzione quando ricevono notifiche indesiderate, in particolare quelle che richiedono la verifica delle credenziali o offrono l'accesso a documenti inaspettati.

La vigilanza su e-mail, messaggi diretti, SMS e altri canali di comunicazione è una delle difese più efficaci contro attacchi come la truffa del rapporto sulle risorse umane.