Alcune professioni sono semplicemente più soggette di altre ai cyberattacchi, indipendentemente dal tipo di attività. È il caso dei professionisti nel campo delle risorse umane e questo, principalmente, perché gli indirizzi e-mail dei dipendenti HR sono pubblicati sui siti aziendali per le candidature e sono quindi più facili da trovare. Inoltre, nelle risorse umane i dipendenti occupano una posizione piuttosto insolita visto che ricevono montagne di corrispondenza esterna all’azienda ma tendono, al tempo stesso, ad avere accesso a dati personali che l’azienda non può permettersi di perdere. Gli esperti di Kaspersky Lab hanno approfondito la situazione individuando i rischi maggiori pe proponendo consigli di sicurezza per evitare che gli attacchi alle risorse umane abbiano successo.

Posta in arrivo

Di solito, i criminali informatici penetrano il perimetro di sicurezza aziendale inviando a un dipendente un’e-mail contenente un allegato o un link dannoso. Ecco perché consigliamo sempre ai lettori di non aprire e-mail sospette con allegati o cliccare su link inviati da sconosciuti. Per un professionista delle risorse umane, questo consiglio sarebbe però ridicolo. La maggior parte delle e-mail esterne che ricevono probabilmente proviene infatti da sconosciuti e molte includono un allegato con un curriculum (e a volte un link a esempi di lavoro). Come supposizione, potremmo dire che almeno la metà dei messaggi in arrivo sembrerebbe sospetta.

Inoltre, i portfolio o i curriculum dei lavori precedenti a volte sono in formati non comuni, come i file di programmi CAD altamente specializzati. La natura stessa del lavoro richiede ai dipendenti delle risorse umane di aprire ed esaminare il contenuto di tali file. Anche se dimentichiamo per un momento che i criminali informatici a volte mascherano il vero scopo di un file alterandone l’estensione (è un file CAD, foto RAW, un DOC, un EXE?), non tutti questi programmi sono aggiornati e non tutti sono stati accuratamente testati per le vulnerabilità. Gli esperti trovano spesso falle di sicurezza che permettono l’esecuzione di un codice arbitrario anche in software diffusi e regolarmente analizzati, come Microsoft Office.

Accesso ai dati personali

Le grandi aziende possono avere a disposizione diversi specialisti in risorse umane che si occupano della comunicazione con chi cerca lavoro o che interagiscono con i dipendenti, mentre è più probabile che le piccole aziende abbiano un solo rappresentante delle risorse umane per tutte le occasioni. Quell’unica persona molto probabilmente ha accesso a tutti i dati personali dell’azienda.

Tuttavia, se state cercando di causare problemi, compromettere semplicemente la casella di posta elettronica dei dipendenti delle risorse umane di solito è più che sufficiente. I candidati che inviano il proprio curriculum potrebbero esplicitamente o tacitamente dare il permesso a un’azienda di elaborare e conservare i loro dati personali, ma sicuramente non stanno accettando di consegnarli a estranei. I criminali informatici possono sfruttare l’accesso a tali informazioni per un ricatto.

workday

E rimanendo in tema estorsione, dobbiamo anche considerare i ransomware. Prima di privare il proprietario dell’accesso ai dati, i cybercriminali spesso li rubano. Se questo tipo di malware si infiltra su un computer delle risorse umane, i ladri potrebbero fare un vero e proprio jackpot di dati personali.

Un punto d’entrata per attacchi BEC più convincenti

Affidarsi a dipendenti creduloni o poco istruiti che potrebbero commettere errori è rischioso. L’attacco più complesso ma più efficace è il Business E-mail Compromise (BEС) ed è ora uno dei principali protagonisti. Gli attacchi di questo tipo spesso mirano a prendere il controllo della casella di posta elettronica di un dipendente che convincerà i colleghi a trasferire fondi o a inoltrare informazioni riservate.

Per garantire il successo, i criminali informatici hanno bisogno di impossessarsi dell’account di posta di qualcuno le cui istruzioni saranno probabilmente seguite, come un dirigente. La fase attiva dell’operazione è preceduta dal lungo e scrupoloso compito di trovare un dipendente di livello adeguato. E in questo caso, una casella di posta delle risorse umane può essere davvero molto utile.

Da un lato, come abbiamo già detto, è più facile far aprire un’e-mail o un link di phishing ai dipendenti delle risorse umane. D’altra parte, i dipendenti dell’azienda sono propensi a fidarsi di un’e-mail proveniente da questa divisione aziendale. Le risorse umane inviano regolarmente i curricula dei candidati ai capi dipartimento. Naturalmente, le risorse umane inviano anche documenti interni all’azienda in generale. Questo fa sì che un account di posta di risorse umane hackerato rappresenti una piattaforma efficace per lanciare un attacco BEС e per muoversi lungo la rete aziendale.

Come proteggere i computer dei dipendenti delle risorse umane

Per ridurre al minimo la probabilità che degli intrusi penetrino nei computer di questa divisione aziendale, si consiglia di seguire questi suggerimenti:

  • Isolate i computer dell’ufficio del personale in una sottorete separata, se possibile, per ridurre le probabilità che una minaccia si diffonda alla rete aziendale anche nel caso in cui un computer venga compromesso
  • Non memorizzate le informazioni di identificazione personale sulle workstation. Tenetele invece su un server separato o, meglio ancora, su un sistema specifico per tali informazioni e protetto con autenticazione multifattore
  • Ascoltate i consigli dei professionisti delle risorse umane per quanto riguarda la formazione sulla cybersecurity awareness e teneteli in considerazione
  • Fate sì che i dipendenti delle risorse umane prestino molta attenzione ai formati dei file inviati dai candidati. I recruiter dovrebbero essere in grado di identificare un file eseguibile e sapere che non vanno eseguiti. Idealmente, lavorate insieme per stilare una lista di formati di file accettabili per i curricula e i moduli, e includete queste informazioni negli annunci per i candidati in buona fede
  • Aggiornate i software sui computer delle risorse umane in modo tempestivo, mantenete una politica di password rigorosa e facile da seguire (nessuna password debole o già utilizzata per le risorse interne, aggiornamento periodico di tutte le password) e, su ogni dispositivo, installate una soluzione di sicurezza che risponda prontamente alle nuove minacce e identifichi i tentativi di sfruttare le vulnerabilità nei software.01