La comunità dei criminali informatici sta rapidamente aumentando il suo interesse nel reclutare personale all’interno delle aziende. Invece di sofisticati attacchi esterni, i criminali si affidano sempre più a fonti interne, ovvero persone disposte a fornire accesso ai sistemi aziendali o a divulgare informazioni riservate dietro compenso.

Questa tendenza ha già interessato banche, exchange di criptovalute, aziende di telecomunicazioni e aziende tecnologiche.

Secondo Check Point, sui forum underground compaiono regolarmente offerte di collaborazione.

Alcune sono scritte in tono neutro, mentre altre cercano di fare leva sulle emozioni, promettendo sollievo dal lavoro di routine e alti profitti. Le ricompense per l’assistenza variano da diverse migliaia di dollari per un servizio una tantum a cifre a sei cifre per una collaborazione a lungo termine.

Tra queste, l’accesso ai sistemi interni, il ripristino delle password e il trasferimento di database o altre informazioni utili per gli attacchi.

Il settore finanziario rimane un obiettivo chiave. Nelle darknet si trovano offerte mirate ai dipendenti di exchange come Coinbase, Binance, Kraken e Gemini, nonché ai dipendenti di importanti banche e autorità fiscali. I criminali sono disposti a pagare decine di migliaia di dollari per la cronologia delle transazioni o l’accesso amministrativo. Vengono venduti anche database completi: uno contenente informazioni su 37 milioni di utenti ha un valore di 25.000 dollari.

Anche le aziende tecnologiche sono sotto attacco. L’archiviazione cloud e i dati dei clienti sono di particolare interesse. I forum stanno registrando richieste rivolte ai dipendenti di Apple, Samsung e Xiaomi, nonché agli operatori di telecomunicazioni, alle aziende di logistica e ai consulenti IT. Gli attacchi di SIM swapping, che richiedono l’assistenza dei dipendenti degli operatori di telefonia mobile, rimangono un’area separata.

In alcuni casi, anziché una collaborazione una tantum, l’offerta prevede un lavoro da remoto permanente a un costo fisso.

Tali accordi possono durare settimane e includere attività come il trasferimento di informazioni, la rimozione di tracce o la disattivazione dei sistemi di sicurezza. A volte vengono coinvolti anche i cosiddetti access broker che operano tramite Telegram e altre piattaforme chiuse. Queste piattaforme reclutano anche penetration tester disposti a mettere a frutto le proprie conoscenze per supportare gli aggressori ransomware.

L’anonimato delle transazioni aggrava ulteriormente la situazione.

Grazie alle criptovalute, i partecipanti a tali schemi possono rimanere al di fuori del radar delle autorità di regolamentazione e le transazioni stesse sono difficili da tracciare. Per le aziende, ciò significa non solo perdite dirette, ma anche il rischio di danni alla reputazione, interruzioni dei processi aziendali e problemi di conformità legale.

Per proteggersi da questa minaccia, le organizzazioni devono combinare misure tecnologiche con la gestione del personale. Ciò include la sensibilizzazione sui potenziali rischi, il monitoraggio regolare delle attività dei dipendenti, la limitazione dell’accesso ai sistemi critici e l’analisi costante dei siti darknet per individuare eventuali riferimenti all’azienda.

Solo una preparazione costante e un’attenzione ai dettagli possono ridurre al minimo i rischi associati alle minacce interne.

L'articolo Il Cybercrime cerca Dipendenti Infedeli. Aumento delle richieste nelle underground proviene da Red Hot Cyber.