Se qualcuno si presenta come supporto IT e chiede accesso ai dispositivi, è fondamentale fermarsi immediatamente. La regola principale è semplice: verificare l’identità, non concedere accesso immediato e segnalare l’episodio al team di sicurezza. Questa cautela è cruciale poiché il gruppo noto come Silent Ransom Group sta utilizzando tecniche di social engineering aggressive, incluse chiamate, email fraudolente e visite fisiche negli uffici.
Il Silent Ransom Group, attivo almeno dal 2022, ha preso di mira organizzazioni in vari settori, con particolare attenzione agli studi legali. La strategia prevede l’invio di email di phishing, telefonate apparentemente provenienti dall’IT aziendale e, se necessario, visite fisiche negli uffici per convincere i dipendenti a concedere accesso ai sistemi.
Un attacco che combina inganno digitale e presenza fisica
Questa tattica è efficace perché si basa su una combinazione di urgenza e autorità apparente. Spesso, una visita di persona supera la diffidenza iniziale, esercitando una pressione sociale significativa. Se il dipendente accetta l’accesso, gli aggressori possono sottrarre informazioni e richiedere un riscatto, minacciando di pubblicare o vendere i dati personali.
Identificazione delle intrusioni
Le campagne del Silent Ransom Group lasciano pochi segni evidenti, rendendo difficile l’individuazione tramite antivirus tradizionali. Gli attacchi possono manifestarsi attraverso richieste non autorizzate di accesso remoto o interventi fisici non registrati, sfruttando la confusione operativa.
Proteggere l’azienda
La difesa principale è la verifica. Non si deve concedere accesso senza controlli formali. Formare il personale per riconoscere le forme di social engineering è altrettanto importante. Inoltre, adottare l’autenticazione multifattore, limitare accessi non autorizzati, e implementare procedure per la verifica delle richieste di supporto sono pratiche fondamentali.
Segnali d’allerta
- Richieste urgenti di accesso remoto senza ticket ufficiale.
- Email sospette con numeri di supporto non riconosciuti.
- Presunti tecnici che richiedono accesso diretto alle postazioni.
- Pressioni per bypassare procedure di verifica.
Azioni in caso di sospetti
- Interrompere la conversazione e non concedere accesso.
- Verificare il nome della persona attraverso i canali interni.
- Segnalare l’evento al team di sicurezza.
- Conservare registrazioni del contatto.
Monitoraggio e resilienza
Monitorare accessi e comportamenti anomali è fondamentale per rilevare potenziali attacchi. La formazione anti-social engineering deve prevedere scenari realistici, per rendere la verifica una prassi operativa. La protezione dei dati sensibili attraverso segmentazione e backup regolari è essenziale per ridurre il potere di pressione degli aggressori.
__________
Puoi leggere la fonte originale dell’articolo qui
