Cestini dei rifiuti, USB, computer non sorvegliati, profili sui social media. Questi sono alcuni dei possibili punti deboli che gli hacker potrebbero utilizzare per danneggiare le piccole imprese. Jake Moore, esperto di cybersicurezza di ESET, si reca regolarmente sul campo e indaga su questi pericoli nascosti di cui le PMI potrebbero non essere a conoscenza: ecco alcune delle sue esperienze.
La spazzatura di qualcuno è il tesoro di qualcun altro
Perché dovreste preoccuparvi di ciò che i dipendenti gettano nei cestini dell'ufficio? Perché potrebbero mettere a rischio preziosi dati personali e aziendali. "Milioni di persone gettano via informazioni sensibili ogni giorno e i criminali lo sanno bene", spiega Jake. Anche le etichette dei pacchi dovrebbero essere distrutti con un distruggidocumenti, poiché spesso includono indirizzi di casa, indirizzi e-mail e numeri di telefono.
Sulla base delle informazioni personali, gli hacker possono facilmente manipolare i dipendenti. "Ad esempio, con il numero di telefono e lo scontrino dell'acquisto appena effettuato, potrebbero chiamare o mandare un messaggio a un dipendente per aggiornarlo sul prodotto acquistato. Inoltre, potrebbero chiedergli di visitare siti web di phishing o altri siti truffaldini che potrebbero poi indurlo a consegnare altre informazioni, come password o dati della carta di pagamento", aggiunge Jake. Alla fine, i criminali informatici potrebbero persino accedere agli account di online shopping e acquistare articoli dalle carte memorizzate, comprese quelle aziendali.
Quando la troppa fiducia è la causa dei cyberattacchi
Agosto 2021 - Jake Moore, vestito da assistente produttore televisivo, si presenta in un piccolo ma importante golf club del Regno Unito. Il personale lo lascia entrare senza interrogarsi sulla sua identità o chiedere un documento di riconoscimento. Viene lasciato solo con la maggior parte dei dispositivi aziendali. Il personale gli permette persino di inserire una chiavetta USB nei dispositivi che, con orrore di Jake, funzionavano ancora con Windows XP. Così, in pochi minuti, Jake ottiene l'accesso all'intera rete aziendale. E come descrive lui stesso: "Con l'accesso alla password Wi-Fi, alle porte USB e persino alle macchine non sorvegliate, avrei potuto portare a termine qualsiasi exploit mi venisse in mente, dall'installazione di un trojan per l'accesso remoto o di keylogger sulle macchine, all'inserimento di altro malware, come il ransomware, nella rete per richiedere il pagamento per decriptare i dati". Un vero piacere per gli hacker.
Leggi di più nell'intervista a Jake (in inglese)
HackedIn: hackerati tramite LinkedIn
Se volete fare rete a livello professionale, avere un profilo LinkedIn è quasi d'obbligo. Ma oltre a curare la vostra presentazione online, dovreste anche preoccuparvi della sicurezza informatica. I social network potrebbero diventare un'altra potenziale minaccia e sono un ottimo canale per i criminali informatici. Un esempio che dice tutto: Mentre lavorava come consulente per la sicurezza, Jake ha cercato di carpire dati personali cruciali all'amministratore delegato di una piccola azienda del Dorset e LinkedIn è stata la sua prima scelta. Ha creato un profilo falso e ha inviato una richiesta all'assistente personale dell'amministratore delegato, che ha accettato immediatamente.
Senza verificare realmente l'identità del profilo, l'assistente ha iniziato a comunicare con Jake e ha accettato di girare uno spot sull'azienda. Successivamente, Jake ha inviato un questionario credibile, chiedendo i dati personali dell'amministratore delegato, che il capo dell'azienda ha compilato volentieri. Successivamente, l'assistente ha inoltrato tutto il materiale a Jake. In questo modo, a Jake (e probabilmente a qualsiasi hacker) sono state fornite informazioni cruciali sulla sicurezza, che potrebbero essere facilmente utilizzate in modo improprio.
Più siamo online, più emergono punti di contatto digitali. I criminali informatici sfruttano le loro abilità per entrare nel vostro business e scommettono sull'ingenuità, la sincerità o la gentilezza del loro obiettivo. Tuttavia, nell'ambiente digitale, più che altrove, è sempre necessario guardare prima di fare un salto - o un clic, in questo caso.