Il ricatto è una pratica comune tra i cybercriminali. Sebbene il grosso delle loro minacce siano fasulle, molti dipendenti difettano della conoscenza necessaria e sono spesso raggirati. Pertanto, è di cruciale importanza aumentare la consapevolezza e parlare delle truffe online, inclusa la sextortion.
“Ciao, amico mio. Tu non mi conosci, ma io conosco te molto bene. Meglio di quanto tu creda. Questa è la tua password, vero?” Email simili arrivano spesso nelle caselle dei dipendenti. Il misterioso ricattatore in genere sostiene di aver spiato la sua vittima tramite la sua stessa webcam durante la visione di contenuti per adulti. Così l’hacker minaccia la vittima affinché paghi il suo silenzio, altrimenti svelerà il segreto a famiglia e colleghi. Tali minacce sono così agghiaccianti che le vittime spesso non vogliono rischiare nulla e pagano la somma richiesta. Come fare per evitare che i tuoi dipendenti cadano nelle truffe di sexstortion?
1. Spiega come funziona il social engineering
Gli atti di sexstortion si basano prevalentemente sul raggiro. Gli estorsori cercano di mostrarsi credibili, sicuri di sé, e reali, in modo da pungere sul vivo le vittime e spaventarle. Perciò dovrai assicurarti che tutti i dipendenti conoscano le tattiche basilari del social engineering e che siano consci che la stessa email con le stesse formule è stata inviata a tanti altri indirizzi email.
2. Illustra l’età dell’oro delle truffe di sexstortion
Tutti i membri dell’azienda devono sapere che le sexstortion sono in aumento, dato che le tecnologie moderne hanno reso più facile ai criminali la loro diffusione. Un esempio lampante di come gli hacker abusano della tecnologia e delle crisi per diffondere attacchi è di certo la pandemia da COVID-19. Ora che molte aziende si sono spostate sul lavoro in remoto e sugli uffici casalinghi, dove i dipendenti non sono protetti dalla rete aziendale, il numero di minacce sul web è aumentato. Il recente Rapporto ESET sulle minacce mostra come il numero di siti pericolosi e fraudolenti bloccati nel primo quadrimestre del 2020, includendo le frodi di sexstortion, è aumentato del 21% rispetto al quarto quadrimestre del 2019. Ad esempio, alcuni cybercriminali hanno minacciato di infettare le vittime e i loro famigliari col coronavirus se non cedono alle minacce. Condividi questi esempi col tuo team, e identificate insieme le caratteristiche principali di tali truffe.
3. Metti in chiaro cosa vuole il truffatore
I tuoi dipendenti devono inoltre sapere che l’obiettivo principale delle email di sextortion è far pagare la vittima, preferibilmente in Bitcoin, il che permette agli hacker di ricevere il denaro in forma anonima. Le truffe sono un ottimo giro d’affari: secondo il Crime Complaint Center dell’FBI, nel 2018 le estorsioni tramite email hanno fruttato circa 83 milioni di dollari, la maggior parte dei quali da campagne di sextortion.
4. Spiega come vengono rubate le password
L’hacker potrebbe essere davvero in possesso della password del dipendente, ma con tutta probabilità non ha altro. Insegna ai tuoi dipendenti come funziona il mercato delle password, e spiega che probabilmente l’hacker comprato la password sul dark web a un prezzo irrisorio; tali password possono essere trapelate in un cosiddetto data breach. Menzionare una password vera è solo una delle tecniche atte a innervosire la vittima.
Usa quest’opportunità per ricordare ai dipendenti le migliori pratiche nella creazione di una password o passphrase solida. Spiega anche che il business della compravendita di password è il motivo per bisogna cambiare le proprie password di tanto in tanto, o comunque avvalersi di fattori di protezione aggiuntivi (2FA/MFA).
5. Istruisci i dipendenti su come reagire alle truffe di sexstortion
Se la password è corretta, consiglia ai tuoi dipendenti di mantenere la calma e di cambiarla immediatamente. Dì loro chiaramente che non devono assolutamente inviare denaro, né tanto meno rispondere o cliccare su qualsiasi link o allegato. Insegna ai tuoi dipendenti che, in caso cadano vittima di truffe di sexstortion, devono sempre informare i reparti IT o di sicurezza interna aziendali. E, se possibile nel vostro Paese, bisogna segnalare immediatamente l’incidente (ad esempio, nel Regno Unito è possibile segnalare tali casi online all’Action Fraud, mentre negli USA è possibile sporgere reclamo sul sito dell’FBI).
6. Parla delle minacce reali
Se gestite con le giuste cautele, le sexstortion non potranno fare alcun danno Tuttavia, i tuoi dipendenti devono sapere che esiste un modo in cui gli hacker possono accedere alle loro webcam. Comunque sia, i cybercriminali non saranno abbastanza cortesi da dirlo a chicchessia via mail. Ecco un’infografica da mostrare ai tuoi dipendenti per spiegare come gli hacker possono invadere i loro computer.
7. Fai sensibilizzazione sui corretti comportamenti di cybersicurezza
Una volta a conoscenza delle minacce annidate nell’ambiente online, qualche dipendente potrebbe pensare che basti coprire la propria webcam con del nastro isolante per essere al sicuro. Insomma, anche Mark Zuckerberg ha ammesso di farlo, e copre anche il suo microfono! Ad ogni modo, è la soluzione più superficiale. Protegge sì dall’essere visti o sentiti, ma il dispositivo resterebbe comunque violato.
Presenta ai tuoi dipendenti modi più professionali per proteggere i dispositivi aziendali. Un software antivirus affidabile con protezioni avanzate contro malware (come spyware e virus) può costituire un solido scudo nella battaglia contro le minacce virtuali. Inoltre, è bene abilitare un firewall che monitori il traffico sulla tua rete, in modo da bloccare gli attacchi nocivi. Insegna ai tuoi dipendenti anche come usare password solide e l’autenticazione multifattore.
E dulcis in fundo, il modo più importante di resistere alle minacce virtuali è di non lasciarsi abbindolare, non solo dalle truffe di sextortion, ma da qualsiasi trappola online. La strategia più efficace di tutte? Distinguere le minacce concrete da quelle fasulle.
