Chiavette USB, Computer non protetti e i profili social sono solo alcuni dei possibili punti deboli che gli hacker possono utilizzare per danneggiare le piccole imprese. L'esperto di cybersecurity di ESET, Jake Moore, si reca regolarmente sul campo per indagare sui pericoli nascosti di cui le PMI potrebbero non essere consapevoli. Ecco alcune delle sue esperienze.
La spazzatura di un uomo è il tesoro di un altro
Perché è ragionevole preoccuparsi di ciò che i tuoi dipendenti gettano nella spazzatura in ufficio? Semplice. Potrebbero mettere a rischio preziosi dati personali e aziendali. "Milioni di persone gettano via informazioni sensibili ogni giorno e i criminali ne sono ben consapevoli", dice Jake. Anche le etichette sui pacchi andrebbero distrutte con un distruggidocumenti, dato che spesso includono indirizzi di casa oltre a indirizzi e-mail e numeri di telefono.
Grazie alle informazioni personali per gli hacker è facile manipolare i dipendenti. "Per esempio, con il numero di telefono e lo scontrino di ciò che una persona ha appena comprato, potrebbero potenzialmente contattare il dipendente con un aggiornamento sul prodotto acquistato. Non solo, potrebbero chiedergli di visitare siti web di phishing o altre truffe per forzarlo a consegnare più informazioni, come password o dettagli della carta", aggiunge Jake.
Sentirsi al sicuro è il primo passo per non esserlo affatto
Nell'agosto del 2021, Jake, vestito da assistente produttore televisivo, visita un piccolo ma importante golf club del Regno Unito. Il personale lo lascia entrare senza mettere in dubbio la sua identità o chiedere un documento d'identità. Viene lasciato solo con la maggior parte dei dispositivi aziendali. Il personale gli permette persino di inserire una chiavetta USB nei dispositivi, che - con orrore di Jake - funzionavano ancora con Windows XP. Proprio così, in pochi minuti, Jake ottiene l'accesso all'intera rete aziendale. "Con l'accesso alla password Wi-Fi, alle porte USB e anche alle macchine non sorvegliate, avrei potuto completare qualsiasi exploit che potevo sognare, dall'installazione di un trojan di accesso remoto o di keylogger sulle macchine, al posizionamento di altri malware, come il ransomware, sulla rete per richiedere un riscatto sui dati". Una vera delizia per gli hacker.
HackedIn via LinkedIn
Se vuoi fare networking professionale, avere un profilo LinkedIn è quasi un must, ma oltre a preoccuparvi della vostra reputazione online, dovreste farlo anche della cyber-sicurezza. I social network possono diventare un'altra potenziale minaccia e sono un ottimo canale per i criminali informatici. Un esempio che dice tutto: Mentre lavorava come consulente di sicurezza, Jake ha cercato di estorcere dati personali cruciali al CEO di una piccola azienda nel Dorset, e LinkedIn è stata la sua prima scelta. Ha creato un profilo falso e ha inviato una richiesta all'assistente personale del CEO, che ha immediatamente accettato.
Senza verificare realmente l'identità del profilo, l'assistente ha iniziato a comunicare con Jake e ha accettato di girare uno spot sull'azienda. Successivamente, Jake ha inviato un questionario credibile, chiedendo i dati personali del CEO, che il capo della società ha compilato volentieri. In seguito, l'assistente ha inoltrato tutto il materiale a Jake. E proprio così, Jake (che avrebbe potuto essere un hacker) ha ricevuto informazioni cruciali per la sicurezza, che potrebbero essere facilmente utilizzate in modo improprio.
Più siamo online, più creiamo punti di contatto digitali. I criminali informatici sfruttano le loro abilità per entrare nel tuo business, e scommettono sull'ingenuità, la sincerità o la gentilezza del loro obiettivo.