Dalla telefonata falsa al ransomware: la sicurezza deve essere continua

Una telefonata dal presunto reparto IT. Una richiesta urgente di verifica. Un link da aprire per aggiornare l’accesso. Una procedura che sembra interna, plausibile, quasi ordinaria. Oggi un attacco informatico può iniziare anche così. Le tecniche di social engineering sono diventate più raffinate perché si avvicinano al modo reale in cui lavorano le persone. Non sempre l’attaccante ha bisogno di sfruttare subito una vulnerabilità tecnica complessa. A volte punta sulla fiducia, sull’urgenza e sulla routine.

Sempre più spesso gli aggressori utilizzano il vishing (una truffa fatta tramite telefonata o messaggio vocale) per impersonare personale IT interno, convincere l’utente a inserire le credenziali su un sito di phishing e ottenere accesso all’account aziendale, compreso il secondo fattore di autenticazione. Una volta dentro, possono individuare ed esfiltrare dati, usando poi account compromessi anche per comunicazioni interne. Il punto non è il singolo gruppo criminale. Il punto è il metodo. L’attacco non si limita più alla classica email sospetta. Entra nei processi aziendali, sfrutta strumenti di collaborazione, intercetta abitudini operative e trasforma un contatto apparentemente normale in una possibile porta d’ingresso.

Quando l’attacco diventa multicanale

Il phishing resta una delle minacce più diffuse, ma sta cambiando forma. Le campagne più evolute non si limitano a inviare un messaggio generico a migliaia di destinatari. Costruiscono percorsi credibili, alternano canali diversi e si adattano alle risposte della vittima. Un caso recente segnalato dal CERT-AGID riguarda campagne di phishing a tema criptovalute che sfruttano in modo fraudolento il nome e la grafica dell’Agenzia delle Entrate. In uno dei flussi descritti, la vittima viene indirizzata verso un sito falso, inserisce codice fiscale e numero di telefono, visualizza una pratica apparentemente già aperta e compila un modulo che cambia in base alle risposte fornite. Alla fine, una schermata simula un errore tecnico e invita a chiamare un falso ufficio, trasformando il phishing in vishing.

Questa dinamica è significativa anche per le aziende. Lo stesso schema può essere adattato a uffici amministrativi, fornitori, reparti tecnici, risorse umane, personale commerciale o figure che gestiscono pagamenti, documenti riservati e autorizzazioni. Quando l’attacco passa da email, siti, form, telefonate e strumenti di collaborazione, non basta chiedere alle persone di “stare attente”. La consapevolezza resta fondamentale, ma deve essere sostenuta da procedure chiare, controlli sugli accessi, protezione della posta, verifica degli strumenti utilizzati e capacità di riconoscere comportamenti anomali.

Il bersaglio non è solo la password

Molti attacchi partono da una credenziale, ma il vero obiettivo è ciò che quella credenziale consente di raggiungere. Un account compromesso può aprire l’accesso alla posta elettronica, ai documenti condivisi, agli ambienti cloud, agli strumenti interni, agli archivi e ai dati dei clienti. Può essere usato per inviare nuove comunicazioni fraudolente, modificare regole di inoltro, scaricare file, simulare richieste legittime o preparare una fase successiva dell’attacco. È qui che il rischio cambia scala. Una password rubata non è più soltanto un problema dell’utente. Può diventare un problema di continuità operativa, protezione dei dati, reputazione, obblighi normativi e rapporto con clienti e fornitori. Per questo la gestione degli accessi deve essere collegata alla sicurezza della posta elettronica, al controllo degli endpoint, alla protezione degli ambienti cloud, al backup e al Disaster Recovery. Ogni livello ha una funzione diversa. Nessuno, da solo, esaurisce il problema.

Un filtro email può ridurre l’esposizione ai messaggi pericolosi, ma non compensa processi interni deboli. L’autenticazione multifattore rafforza l’accesso, ma non elimina il rischio di attacchi pensati per aggirarla. Un backup è essenziale, ma deve essere protetto, verificato e inserito in una logica di ripristino. Un Vulnerability Assessment aiuta a individuare servizi esposti, configurazioni deboli e priorità tecniche, ma produce valore solo se diventa il punto di partenza per interventi successivi.

La conformità non coincide con il controllo

La NIS2 ha riportato al centro temi come gestione del rischio, continuità operativa, risposta agli incidenti, sicurezza della supply chain, controllo degli accessi e autenticazione multifattore. La direttiva europea definisce infatti una base comune di misure di cybersecurity risk management e obblighi di reporting per i settori che rientrano nel suo perimetro. Ma c’è un punto da non perdere: essere conformi non significa avere automaticamente tutto sotto controllo.

Un’infrastruttura può risultare adeguata in un determinato momento e cambiare poco dopo. Un nuovo servizio viene attivato, una regola viene modificata, un fornitore introduce una nuova integrazione, un account resta attivo più del necessario. Sono variazioni spesso piccole, ma nel tempo possono modificare il livello reale di esposizione dell’azienda. Il tema è stato sintetizzato bene anche nelle riflessioni sul rapporto tra NIS2 e controllo: la conformità fotografa un momento, mentre il controllo deve resistere al cambiamento. I sistemi non sono statici, si riconfigurano, integrano componenti diversi e dipendono da processi che evolvono. Senza monitoraggio e rilevazione precoce delle anomalie, la distanza tra ciò che si pensa di governare e ciò che accade davvero può restare invisibile fino all’incidente. Per un’azienda, questo significa superare la logica dell’intervento isolato. La sicurezza va mantenuta nel tempo, perché ogni ambiente digitale cambia anche quando sembra stabile.

L’intelligenza artificiale cambia il rischio

L’intelligenza artificiale aggiunge un ulteriore livello di complessità. Da un lato può supportare attività di analisi, classificazione, automazione e rilevazione. Dall’altro può essere usata per rendere più credibili le truffe: messaggi meglio scritti, contenuti personalizzati, falsi vocali, deepfake, simulazioni di comunicazioni interne e campagne più difficili da riconoscere. Per le aziende, il tema non è solo decidere se usare o meno strumenti basati su AI. Il punto è governarli. Questi sistemi possono trattare dati riservati, interagire con applicazioni aziendali, generare output utilizzati nei processi decisionali o entrare nella relazione con clienti e fornitori. Servono quindi regole, formazione, controllo degli accessi, valutazione dei rischi e attenzione ai dati utilizzati.

Una difesa costruita su più livelli

La sicurezza aziendale non può dipendere da un solo strumento. Deve combinare prevenzione, verifica tecnica, controllo degli accessi, protezione dei dati e capacità di ripristino. Il primo livello riguarda le persone. La formazione aiuta a riconoscere phishing, vishing, richieste anomale, uso scorretto delle password, rischi legati a smartphone, computer, dati riservati e strumenti di intelligenza artificiale. Il secondo riguarda l’infrastruttura. Sapere quali vulnerabilità espongono l’azienda, quali servizi sono raggiungibili dall’esterno, quali configurazioni richiedono attenzione e quali sistemi devono essere aggiornati permette di intervenire con priorità più chiare.

Il terzo riguarda identità e accessi. Account, credenziali, VPN, privilegi, MFA e strumenti di collaborazione devono essere gestiti con ordine, soprattutto quando il lavoro coinvolge sedi diverse, fornitori o personale da remoto. Il quarto riguarda i dati. Email, documenti, ambienti cloud, archivi e applicazioni devono essere protetti dall’accesso non autorizzato, dalla perdita, dalla cifratura malevola e dall’esfiltrazione. Il quinto riguarda la ripartenza. Backup, Disaster Recovery e continuità operativa non sono aspetti da verificare dopo un incidente. Devono essere progettati e testati prima, quando è ancora possibile correggere ciò che non funziona. È in questa visione che si inserisce il lavoro di Hypergrid. L’obiettivo non è aggiungere complessità, ma aiutare le aziende a costruire un percorso sostenibile: formazione online configurabile, Vulnerability Assessment, protezione degli accessi, sicurezza della posta elettronica, HyperVPN, HyperSafe, backup, Disaster Recovery e servizi cloud localizzati in Italia.

Dalla reazione alla gestione

Gli attacchi recenti mostrano quanto sia sottile il confine tra rischio tecnico e rischio organizzativo. Una telefonata può diventare il primo passo verso il furto di credenziali. Un account compromesso può aprire l’accesso a dati e strumenti aziendali. Una configurazione trascurata può aumentare l’esposizione. Un backup non verificato può rendere più difficile il ripristino. Per questo la sicurezza aziendale non può essere trattata come un’attività occasionale. Deve diventare un processo fatto di valutazione, protezione, monitoraggio, formazione, aggiornamento e preparazione agli scenari più critici.

Non si tratta di eliminare ogni rischio. Nessuna organizzazione può garantirlo. Si tratta di ridurre le possibilità di attacco, limitare i danni, intercettare prima i segnali deboli e ripartire più rapidamente quando qualcosa accade. In un contesto in cui phishing, ransomware, intelligenza artificiale, cloud e compliance si intrecciano, la domanda non è solo se l’azienda abbia strumenti di sicurezza. La domanda è se quei controlli siano ancora efficaci, se le persone sappiano come comportarsi e se l’organizzazione sia pronta a reagire. La differenza, sempre più spesso, si gioca lì.

Se vuoi conoscere meglio le nostre soluzioni, contattaci! Con una consulenza completamente gratuita potrai scoprire come possiamo aiutarti. Puoi chiamarci al numero +39 0382 528875, scriverci all’indirizzo info@hypergrid.it, visitare il nostro sito https://hypergrid.it, o più semplicemente, cliccare il pulsante qui sotto per prenotare un appuntamento online gratuito con il nostro team.


Ascolta il podcast audio dell’articolo ⬇️


Shares

Iscriviti alla nostra newsletter

Inserisci la tua E-mail ed iscriviti per ricevere aggiornamenti periodici sul mondo della sicurezza informatica