Riassunto dei rischi per l'uomo

Nell'edizione inaugurale di Human Risk Roundup, approfondiamo esempi recenti e reali di come i criminali informatici sfruttano le vulnerabilità umane per violare le difese organizzative. Pensata per i CISO e i leader della sicurezza, questa rubrica regolare di Mimecast fornisce approfondimenti pratici sulle tattiche in evoluzione e sulle strategie psicologiche utilizzate dagli aggressori, aiutandola a essere all'avanguardia nella salvaguardia dell'asset più critico della sua organizzazione: le persone.

Il numero di questa settimana mette in evidenza gli attacchi di Scattered Spider ai rivenditori del Regno Unito, le campagne di phishing che sfruttano l'infrastruttura di Google attraverso attacchi di replay DKIM, la ricomparsa del malware Lampion che utilizza le esche di ClickFix e altro ancora. Ogni storia offre spunti di riflessione per i leader della sicurezza che desiderano migliorare le strategie di gestione del rischio umano.

Attacchi sparsi di ragni ai rivenditori del Regno Unito: Una lezione di sfruttamento umano

Alla fine di aprile del 2025, una serie di cyberattacchi coordinati ha colpito tre grandi rivenditori del Regno Unito: Marks & Spencer (M&S), Co-op Group e Harrods. Anche se l'attribuzione rimane non ufficiale, i ricercatori di cybersicurezza sospettano fortemente il coinvolgimento del noto gruppo di hacker 'Scattered Spider'. Questo gruppo è famoso per sfruttare le vulnerabilità umane piuttosto che sfruttare exploit tecnici avanzati.

Cosa è successo: Secondo quanto riportato dalla BBC, l'attacco a M& S è iniziato intorno al weekend di Pasqua, interrompendo inizialmente i servizi Click & Collect e i pagamenti contactless. L'incidente ransomware ha bloccato i sistemi di pagamento, ha messo in pausa gli ordini online e ha avuto un impatto significativo sulle catene di approvvigionamento. Alcuni fornitori, tra cui Greencore e Nails Inc. hanno fatto ricorso a processi manuali per soddisfare le richieste di consegna, a causa delle sfide operative. M&S ha perso circa 3,8 milioni di sterline al giorno in vendite online, e l'attacco ha cancellato una stima di 500-700 milioni di sterline dal suo valore di mercato. Le indagini suggeriscono che gli aggressori hanno ottenuto l'accesso tramite credenziali rubate ottenute con tecniche come il phishing o il bombardamento dell'autenticazione a più fattori (MFA). Mentre alcuni sistemi hanno ripreso a funzionare, le ricadute più ampie continuano a influenzare le operazioni.

Anche il Gruppo Co-op ha affrontato un devastante attacco informatico questo mese, basandosi su sofisticate tecniche di ingegneria sociale. Gli aggressori hanno manipolato il personale IT attraverso l'impersonificazione e li hanno convinti a reimpostare le password, ottenendo un accesso non autorizzato ai sistemi critici. La violazione ha portato a interruzioni logistiche, causando carenze di cibo fresco in molti negozi Co-op, in particolare nelle isole della Scozia. Per mitigare la minaccia, Co-op ha implementato misure come la limitazione dell'accesso a Internet e il miglioramento dei protocolli di verifica per le riunioni virtuali. Il National Cyber Security Centre (NCSC) ha consigliato ai rivenditori di rafforzare i processi di reimpostazione delle password per arginare rischi simili.

Harrods, invece, ha contrastato con successo un tentativo di cyberattacco adottando misure precauzionali rapide. L'azienda ha limitato l'accesso a Internet in tutte le sue attività, in seguito a tentativi di accesso non autorizzato legati a tattiche di social engineering. L'approccio proattivo del retailer di lusso ha impedito ulteriori intrusioni, anche se i dettagli della violazione non sono stati resi noti.

Perché è importante: Questi incidenti sottolineano la crescente minaccia di cyberattacchi incentrati sull'uomo nel settore della vendita al dettaglio. M&S è un esempio lampante di come le credenziali compromesse e le vulnerabilità umane possano portare a scompiglio finanziario e operativo. Co-op illustra le gravi conseguenze dell'ingegneria sociale all'interno di processi interni fidati, mentre Harrods sottolinea l'importanza di un rilevamento rapido e di un'azione per mitigare le minacce. Investire in una formazione mirata, rafforzare i protocolli e dotare i dipendenti degli strumenti per riconoscere i tentativi di social engineering sarà fondamentale per ridurre il rischio umano e rafforzare la resilienza dell'organizzazione.

Per saperne di più su questi attacchi , consulti il nostro blog Mimecast.

Phishing tramite l'infrastruttura di Google: Un attacco sofisticato alla fiducia umana

In una nuova ondata di campagne di phishing, gli aggressori hanno trovato un modo per sfruttare l'infrastruttura di fiducia di Google per inviare e-mail che sembrano autentiche. Secondo The Hacker News, queste e-mail, apparentemente provenienti da'no-reply@google.com', informavano i destinatari di un presunto mandato di comparizione da parte di un'autorità di polizia. Le e-mail indirizzavano gli utenti a una pagina di Google Sites che imitava l'assistenza legittima di Google, invitandoli a caricare documenti o a visualizzare i dettagli del caso.

Cosa è successo: Gli aggressori hanno sfruttato un attacco di replay DKIM, consentendo loro di creare un'e-mail con una firma valida che aggira i filtri di sicurezza. Questa tecnica prevede la creazione di un'applicazione OAuth legittima di Google, la generazione di un avviso di sicurezza e il suo inoltro preservando la firma DKIM. Di conseguenza, le e-mail di phishing sembravano provenire da account Google legittimi, ingannando anche i sistemi di sicurezza avanzati.

Perché è importante: Lo sfruttamento di piattaforme affidabili per diffondere contenuti dannosi è una sfida emergente per i team di sicurezza IT. Poiché gli aggressori utilizzano sempre più spesso servizi cloud legittimi per il phishing, i metodi di rilevamento tradizionali diventano meno efficaci. Le organizzazioni dovrebbero concentrarsi sull'educazione degli utenti a identificare i tentativi di phishing, anche quando le e-mail sembrano affidabili.

Per saperne di più, legga The Hacker News.

Il malware Lampion ritorna con le esche di ingegneria sociale di ClickFix

Il malware Lampion, noto per aver preso di mira le informazioni bancarie, è riemerso con un nuovo vettore di attacco chiamato ClickFix. Come riportato da Palo Alto Networks, questa tecnica manipola gli utenti nell'esecuzione di comandi dannosi, convincendoli che l'azione risolverà un problema del sistema.

Cosa è successo: La campagna si rivolge alle organizzazioni portoghesi, in particolare nei settori finanziario, governativo e dei trasporti. Gli aggressori inviano e-mail di phishing contenenti un file ZIP dannoso che, una volta aperto, indirizza gli utenti a un falso sito dell'autorità fiscale. Le vittime vengono istruite a eseguire un comando PowerShell, con conseguente furto di dati e compromissione del sistema. Il malware utilizza anche molteplici tecniche di offuscamento per nascondere la sua vera funzione, rendendo il rilevamento particolarmente impegnativo.

Perché è importante: ClickFix rappresenta una tendenza crescente in cui gli aggressori manipolano direttamente gli utenti, anziché sfruttare le vulnerabilità del sistema. I responsabili della sicurezza dovrebbero migliorare la consapevolezza di questa tecnica e implementare strumenti di monitoraggio che rilevino le esecuzioni sospette della riga di comando.

Per saperne di più , clicchi qui.

Combattere l'Human Risk con Mimecast

Assuma il controllo del rischio umano con Mimecast. Le nostre soluzioni avanzate bloccano oltre il 90% delle minacce basate sulla posta elettronica, mirano alle vulnerabilità in modo efficace e mettono i suoi dipendenti in condizione di avere gli strumenti e la formazione necessari per rimanere al sicuro. Scopra come Mimecast può aiutarla a salvaguardare la sua organizzazione dalle minacce informatiche e a mitigare i rischi umani.