Esempio:
Immaginiamo di far parte dei dipartimenti Amministrazione, Risorse Umane o Finanza e di ricevere una richiesta da parte di un presunto dipendente o del suo responsabile di cambiare il numero di conto personale su cui riceve lo stipendio.
Una richiesta che possiamo intendere come abituale o addirittura innocua, può causare gravi danni a livello lavorativo se non seguiamo le procedure e non facciamo un controllo corretto.
Situazione attuale:
Secondo recenti studi, sebbene questo attacco informatico non sia ancora uno dei più comuni, ha colpito circa il 70% delle aziende e degli enti negli ultimi 12 mesi. Questo a prescindere dal settore di attività e dal fatto che si tratti di enti pubblici o privati.
Che cosa implica?
Consiste, ancora una volta, nell’impersonare una persona all’interno della nostra azienda. La richiesta può essere ricevuta con vari mezzi (e-mail, SMS, telefono, ecc.). E non sono solo gli addetti alle paghe a riceverla, ma il criminale informatico può anche aspettarsi che la richiesta venga inoltrata internamente al dipartimento competente.
In caso di successo, i lavoratori la cui identità è stata soppiantata cesseranno di ricevere, da un mese all’altro, la loro busta paga. Perché sarà stato dirottato sul conto di un criminale informatico.
Come possiamo evitarlo?
Applicare la logica comune: prendiamoci un po’ di tempo per esaminare la petizione.
- Se le procedure interne prevedono che si debba fare domanda per posta o attraverso una piattaforma specifica, non fidatevi delle chiamate o dei messaggi di testo o vocali che potreste ricevere, senza essere certi che non si tratti di una truffa.
- Anche se la richiesta è stata fatta con i mezzi di comunicazione appropriati, facciamo una seconda verifica chiamando la persona che richiede la modifica. Questo ci permetterà di verificare se si tratta di una frode o di una richiesta reale. È molto importante non cercare di effettuare questo controllo rispondendo allo stesso messaggio o utilizzando i dati di contatto indicati nel messaggio, perché potremmo allertare il criminale informatico del nostro sospetto e sarebbe peggio.
- Se per i trasferimenti è richiesta una doppia approvazione o un controllo interno, non modificate i dettagli di pagamento e non eseguite tali transazioni con leggerezza. Per quanto possano essere intesi come luoghi comuni. Idealmente, in questi casi, dovrebbe essere richiesta una prova della proprietà del conto bancario, per dimostrare la legittimità della modifica.
VI RICORDIAMO ANCORA UNA VOLTA: Se pensate di essere stati vittime di questo tipo di attacco informatico, segnalatelo al reparto IT, al CISO o al DPO sul posto di lavoro e denunciatelo alla polizia .