Mai abbassare la guardia!

Digitree - Security & Peace of Mind / Security Awareness  / Mai abbassare la guardia!
Stu Sjouwerman, CEO di KnowBe4

Mai abbassare la guardia!

Perfino Stu Sjouwerman, CEO di KnowBe4, nelle ultime due settimane si è trovato nella parte della vittima in un caso di furto di identitàKnowBe4 CEO.

Qualcuno ha richiesto un finanziamento alla Small Business Administration (un’agenzia federale statunitense a sostegno delle PMI) a suo nome, usando il suo numero di Social Security. Qualcuno ha fatto richiesta del sussidio di disoccupazione, anche in questo caso con il corretto numero di Social Security. E qualcuno ha creato un falso profilo Facebook a suo nome, cominciando a contattare gli impiegati di KnowBe4.

Stu Sjouwerman è uno dei quasi 11 milioni di americani che, ogni anno, vengono presi di mira dai ladri di identità. Sebbene questo sia il primo attacco che gli è accaduto o, almeno, il primo di cui si sia accorto, Stu è un esperto di cyber security e ha quindi preso contromisure per tutelare se stesso prima che capitasse qualcosa di male, incluso il blocco dei suoi conti correnti.

Stu sospetta che l’attaccante abbia ottenuto informazioni personali su di lui acquistandole sul dark web, una parte di internet a cui si accede tramite un software speciale e che è un vero e proprio mercato nero digitale.

“E’ molto probabile che i dati stiano sul dark web dopo un data breach. Gli attaccanti scelgono le vittime in base ai dati demografici e patrimoniali e altre cose del genere. Non è difficile combinare cinque o sei data breach , incrociare i dati e scoprire le persone che sono buone candidate per un furto di identità” afferma Stu.

Se lo è stato lui, perché non potrebbe capitare anche a noi?

Ha pubblicato la sua vicenda sul blog di KnowBe4 con l’intento di mandare questo messaggio: se un esperto di cyber security può essere hackerato, lo può essere chiunque.

“Ci sono così tanti data breach che le informazioni personali di ciascuno di noi sono esposte sul dark web spesso per più di cinque occorrenze. Non è qualcosa che si può impedire,” sostiene. “Quello che possiamo impedire è che il vero ladro di identità crei account a nostro nome. Bisogna andare alla propria banca e bloccare il conto, e riaprirlo per 24 ore se davvero ce n’è bisogno, per esempio per acquistare un’automobile…e poi chiuderlo di nuovo.”

KnowBe4 insegna agli impiegati ad essere un firewall umano contro i tentativi di attacco cyber contro la propria azienda. Imparano a stare in guardia contro le tattiche di phishing, come le false email provenienti da qualcuno che dichiara di essere un manager dell’azienda che necessita di informazioni riservate, chiede una password o un trasferimento di denaro.

Il contrattacco di Stu

Ci sono stati un paio di segnali che hanno fatto capire a Stu che era sotto attacco. Uno sveglio impiegato di SBA lo ha chiamato per verificare le informazioni circa la richiesta di finanziamento e Stu si è è congratulato con lui per la “buona caccia alla frode.”

Nel caso della richiesta di sussidio, c’erano poche possibilità di successo, dal momento che “questo tipo di richieste devono essere verificate dall’azienda in questione e KnowBe4 non mi ha ancora licenzato” scrive Stu nel suo post.

Il falso profilo Facebook è stato un altro avvertimento. Sebbene ci fosse la foto di Stu, il “falso Stu” viveva a Kampala – un posto in cui il vero Stu non è mai stato – e il linguaggio utilizzato non era quello abituale del CEO di KnowBe4.

Il team di Facebook ha chiuso il falso profilo e sta rivedendo tutti i post.

Stu descrive questo schema come “la goffa versione moderna della truffa alla nigeriana” e consiglia di stare molto attenti a quello che si pubblica sui social media dal momento che quello che va su internet rimane per sempre.

I cattivi, i cyber criminali, prendono la via più facile: ci vogliono tre minuti per hackerare un umano, ci vogliono tre settimane per hackerare un software, ci vogliono tre mesi per hackerare un hardware. Prova a indovinare quello che fanno!

Gentile [%FIRST_NAME]…

KnowBe4 stesso è stato oggetto di spoofing la settimana scorsa. Molti utenti hanno riportato di aver ricevuto notifiche di training che in realtà erano “esche” in una campagna di phishing, probabilmente un tentativo di ottenere dagli impiegati le credenziali di Microsoft Outlook.

knowbe4_spoofed-1b

Se non altro, questo particolare tipo di phishing serve a ricordare che nessuna azienda/organizzazione online è immune o resistente al fatto di essere oggetto di spoofing come parte di una campagna email malevola. I brand, i siti e i servizi online sono tutti vulnerabili a questo tipo di attacchi, e gli utenti dovrebbero essere pienamente consapevoli di questo fenomeno. Non è questione di “se” ma di “quando”.

E’ per questo che dobbiamo tenere sempre alta la guardia e rendere le nostre persone consapevoli delle minacce ed attrezzate a resistere. La nuova scuola di  security awareness training può insegnare ai nostri impiegati ad essere sospettosi rispetto ad email, sms e altri messaggi che domandino loro di cliccare su un link o aprire un allegato, e a comportarsi accortamente nella loro vita personale, lavorativa e digitale.

Adriana Franca

Desideri prenotare una demo o ricevere una consulenza online? Prenota il tuo slot ora: <em><u><a href="https://adriana-digitree.youcanbook.me/">https://adriana-digitree.youcanbook.me/</a></u></em>

No Comments
Post a Comment