Pubblicato il: 18 01 2023
  • phishing

Ennesimo tentativo di phishing questa volta riuscito, un impiegato ha abboccato alla classica mail di phishing inviata da un fornitore che sollecitava il pagamento di una fattura con tanto di file allegato che conteneva un ransomware in grado di crittografare tutti i dati presenti nei server aziendali.

Il dipendente che aveva ricevuto la mail di phishing, una volta letta, aveva girato il sollecito al collega dell’amministrazione informandolo che si trattava di una fattura da pagare, ma quando quest’ultimo cliccava sul file zip allegato scaricandolo ed astraendone il contenuto il danno era ormai fatto.

Il tutto accadeva mentre questo si trovava in smart working a causa della pandemia, l’antivirus segnalava il file sospetto mettendolo in quarantena, peccato che anche se la rimozione del virus sembrava essere andata a buon fine, in realtà l’hacker aveva mantenuto l’accesso al pc, nei giorni seguenti il cybercriminale disinstallava anche l’antivirus per muoversi liberamente all’interno della rete aziendale, compromettendo sistemi, account di alcuni domini e database in cui erano memorizzati anche i dati personali dei 113.000 dipendenti come coordinate bancarie, numeri di previdenza sociale, orientamento sessuale religione e la loro origine etnica.

Questa violazione dei dati potrebbe causare danni reali ai dipendenti, poiché li ha resi vulnerabili alla possibilità di furto di identità e frode finanziaria“ ha spiegato John Edwards, che guida l’autorità inglese per la protezione dei dati (Information Commissioner’s Office) la quale al termine dell’istruttoria su questo disastroso data breach lo scorso 24 ottobre ha reso noto di aver inflitto alla Interserve una sanzione da 4,4 milioni di sterline, pari a circa 5,1 milioni di euro.

Parliamo di un’azienda che è anche un fornitore strategico del governo ed annovera tra i propri clienti anche il Ministero della Difesa.
Nonostante le procedure messe in atto dalla società (tra cui la policy sulla sicurezza delle informazioni, quella sulla gestione delle minacce e delle vulnerabilità, oltre a linee guida per la risposta agli incidenti ransomware, etc. etc.), nei fatti però tutto ciò serve a ben poco se l’azienda non monitora regolarmente le attività sospette nei suoi sistemi, non aggiorna il software e non fornisce formazione al personale, ha rimarcato John Edwards.

Volendo possiamo individuare un capo espiatorio nell’impiegato sprovveduto o incompetente, ma in realtà non è altro che il risultato di una gestione burocratica dei temi della privacy e della cybersecurity solo cartacea ma con pochi fatti.