Human Risk Roundup: Una città attaccata, il fallout di Salesloft e VerifTools ostacolato

In questa edizione di Human Risk Roundup, ci immergiamo in tre eventi recenti di alto profilo e degni di nota - continui a leggere per maggiori informazioni.

Un truffatore ha rubato oltre 1,5 milioni di dollari alla città di Baltimora

Un truffatore ha rubato oltre 1,5 milioni di dollari alla città di Baltimora fingendosi un fornitore e manipolando il personale per cambiare i dati del conto bancario, sfruttando i deboli controlli interni in un attacco BEC (Business Email Compromission). Nonostante il recupero di parte dei fondi, l'incidente mette in evidenza le continue vulnerabilità nei processi di contabilità passiva della città, che in passato ha dovuto affrontare truffe simili.

Cosa è successo

Questo schema, un classico attacco BEC, si è verificato tra febbraio e marzo 2025, con due pagamenti fraudolenti per un totale di 1.524.621,04 dollari. Il truffatore ha avuto accesso all'account Workday del fornitore e ha alterato i dati bancari, che sono stati approvati dai dipendenti della contabilità fornitori senza un'adeguata verifica. Mentre la città ha recuperato 721.236,60 dollari, i restanti 803.384,44 dollari non sono ancora stati recuperati, ed è stata presentata una richiesta di risarcimento da parte dell'assicurazione. L'indagine ha rivelato la debolezza dei controlli interni e la mancanza di salvaguardie nel reparto contabilità fornitori, che non aveva implementato misure correttive dopo precedenti casi di frode. Questo incidente segue altre due truffe di venditori a Baltimora dal 2019.

Perché è importante

Questo attacco evidenzia un significativo incidente di cybersecurity in cui un truffatore ha sfruttato la debolezza dei controlli interni. L'aggressore ha utilizzato una tattica BEC comune, fingendosi un fornitore e alterando i dettagli del conto bancario per reindirizzare i pagamenti. Questo caso sottolinea la necessità critica di processi di verifica robusti e di salvaguardie nei sistemi finanziari per prevenire tali frodi. Rivela anche uno schema di vulnerabilità ricorrenti, in quanto Baltimora ha affrontato truffe simili in passato, sottolineando l'importanza di imparare dagli incidenti precedenti. Per il personale addetto alla cybersecurity, questo serve a ricordare di dare priorità alla formazione dei dipendenti, di implementare l'autenticazione a più fattori e di applicare rigorosi protocolli di verifica dei documenti. L'incidente dimostra come le lacune nelle misure di sicurezza di base possano portare a danni finanziari e di reputazione sostanziali.

Quattro consigli pratici per i leader della sicurezza

1. Si assicuri che tutte le modifiche ai dati bancari del fornitore siano accuratamente verificate. Richieda più livelli di approvazione e controlli incrociati della documentazione, come gli assegni annullati, per confermare l'autenticità.
2. Educhi i dipendenti a riconoscere i tentativi di phishing e gli schemi BEC. Una formazione regolare può aiutare il personale a identificare le bandiere rosse, come le richieste insolite o le discrepanze nella documentazione.
3. Condurre audit regolari dei processi di contabilità passiva e implementare le misure di salvaguardia per individuare e prevenire le attività fraudolente. Ciò include l'adozione di misure correttive dopo qualsiasi incidente di frode, per evitare che le vulnerabilità si ripetano.
4. Investa in sistemi avanzati di rilevamento delle frodi, in grado di segnalare le attività sospette, come i ripetuti tentativi di modificare i dati del fornitore o di accedere ai conti da luoghi insoliti.

Per saperne di più sull'attacco.

Le ricadute in corso di una violazione presso il produttore di chatbot AI Salesloft

Una violazione presso Salesloft, un'azienda produttrice di chatbot di intelligenza artificiale, ha comportato il furto dei token di autenticazione, compromettendo i dati di numerose istanze Salesforce aziendali e di altri servizi integrati come Google Workspace e Amazon S3. L'attacco, attribuito al gruppo UNC6395, ha portato a un furto di dati diffuso e ha sollevato preoccupazioni sulla sicurezza delle piattaforme di identità centralizzate, sollecitando sforzi urgenti di riparazione da parte delle organizzazioni colpite.

Cosa è successo

Gli hacker hanno rubato i token di autenticazione, compromettendo non solo i dati di Salesforce, ma anche le integrazioni con servizi come Slack, Google Workspace e Amazon S3. Il Threat Intelligence Group di Google ha rivelato che la violazione ha permesso agli aggressori di esfiltrare dati sensibili, tra cui le credenziali per i servizi cloud, consentendo potenzialmente ulteriori compromissioni. La violazione, legata a UNC6395, ha portato ad avvertire le aziende di invalidare tutti i token collegati alle integrazioni di Salesloft. L'incidente fa parte di una tendenza più ampia di attacchi di ingegneria sociale, con gruppi come ShinyHunters e Scattered Spider che sfruttano i token di accesso per infiltrarsi nei sistemi. Salesloft ha assunto Mandiant per indagare sulla violazione, ma la causa principale rimane poco chiara.

Perché è importante

Questa violazione evidenzia le vulnerabilità critiche nella sicurezza dei token di autenticazione, che riguardano non solo Salesforce ma anche le integrazioni con le principali piattaforme come Google Workspace, Slack e Microsoft Azure. Il personale addetto alla sicurezza informatica deve agire rapidamente per mitigare i rischi, poiché gli aggressori hanno già sfruttato i token rubati per accedere a dati aziendali sensibili, comprese le credenziali per i servizi cloud come AWS e Snowflake. Questo incidente sottolinea i pericoli di "authorization sprawl," dove gli aggressori sfruttano l'accesso legittimo degli utenti per muoversi inosservati attraverso i sistemi. La violazione rivela anche la crescente sofisticazione dei gruppi di minaccia come UNC6395, che utilizzano l'ingegneria sociale e il furto di token per aggirare le misure di sicurezza tradizionali. Questo caso serve a ricordare i rischi a cascata posti dalle integrazioni di terze parti nei moderni ecosistemi IT.

Quattro consigli pratici per i leader della sicurezza

1. Invalidi e riemetta proattivamente i token di autenticazione, soprattutto per le integrazioni di terze parti, per ridurre al minimo il rischio di furto di token e di accesso non autorizzato.
2. Implementa controlli rigorosi per prevenire lo sprawl delle autorizzazioni "," dove gli aggressori sfruttano i token di accesso legittimi degli utenti per spostarsi senza essere scoperti tra i sistemi. Controlli regolari delle autorizzazioni di accesso e dell'utilizzo dei token possono contribuire a mitigare questo rischio.
3. Valutare e proteggere le integrazioni di terze parti, in quanto possono essere un anello debole nella sua catena di sicurezza. Presumere che i dati collegati alle integrazioni compromesse possano essere a rischio e adottare misure di riparazione immediate.
4. Istruisca i dipendenti a riconoscere e rispondere alle tattiche di ingegneria sociale, come il phishing vocale, che gli aggressori utilizzano per ottenere l'accesso a sistemi sensibili. Simulazioni regolari e campagne di sensibilizzazione possono rafforzare le difese contro queste minacce.

Per saperne di più sulla violazione.

L'operazione delle forze dell'ordine sequestra la piattaforma di identità false VerifTools

Un'operazione congiunta delle forze dell'ordine statunitensi e olandesi ha smantellato VerifTools, un'importante piattaforma per la creazione di documenti di identificazione falsi utilizzati in vari crimini informatici, tra cui il phishing e il furto di criptovalute. Le autorità hanno sequestrato server e domini e sono in corso indagini per identificare gli amministratori e gli utenti della piattaforma, segnando un passo significativo nella lotta contro le frodi di identità e il crimine informatico.

Cosa è successo

L'operazione ha comportato il sequestro di server ad Amsterdam e di nomi di dominio negli Stati Uniti, che sono stati utilizzati per generare documenti d'identità contraffatti a partire da 9 dollari. Questi ID falsi sono stati sfruttati in vari crimini informatici, tra cui il phishing, le frodi all'help desk e l'aggiramento dei sistemi di verifica finanziaria. Gli investigatori stanno analizzando i dati sequestrati per identificare gli amministratori e gli utenti della piattaforma. L'indagine dell'FBI, iniziata nel 2022, ha collegato VerifTools ad almeno 6,4 milioni di dollari di profitti illeciti. Le autorità hanno sottolineato l'importanza di prendere di mira tali piattaforme per combattere efficacemente le frodi e i furti di identità.

Perché è importante

La scomparsa di VerifTools è uno sviluppo significativo per il personale della cybersecurity. Questa piattaforma ha permesso ai criminali di aggirare i sistemi di verifica dell'identità, facilitando il phishing, il furto di criptovalute e altri crimini informatici. Sequestrando i suoi server e domini, le forze dell'ordine hanno interrotto uno strumento chiave nell'ecosistema del cybercrime-as-a-service. L'operazione evidenzia l'importanza di colpire non solo i criminali informatici, ma anche l'infrastruttura che supporta le loro attività. Per i team di cybersecurity, questo sottolinea la necessità di rafforzare i processi di verifica dell'identità e di monitorare le attività fraudolente. Inoltre, il successo dell'indagine dimostra il valore della collaborazione internazionale nella lotta alle minacce informatiche.

Quattro consigli pratici per i leader della sicurezza

1. Si assicuri che i suoi processi di verifica dell'identità siano sufficientemente robusti da rilevare e prevenire l'uso di documenti d'identità falsi. Questo include lo sfruttamento di tecnologie avanzate come l'AI e l'apprendimento automatico per identificare le anomalie nei documenti presentati.
2. Costruire solide partnership con le forze dell'ordine per condividere l'intelligence e collaborare alle indagini che hanno come obiettivo le piattaforme di criminalità informatica e i loro utenti.
3. Rimanga informato sull'evoluzione dell'economia del crimine informatico come servizio, che fornisce strumenti come documenti d'identità falsi, malware e server a prova di proiettile. Comprendere queste tendenze può aiutare ad anticipare e mitigare le minacce emergenti.
4. Conduca regolarmente programmi di formazione e di sensibilizzazione per i dipendenti e i clienti, per riconoscere e segnalare gli attacchi di phishing, le frodi dell'help desk e altre truffe che sfruttano documenti di identificazione falsi.

Per saperne di più sull'operazione.