Quando il cyberattacco non arriva via mail, ma via posta

Nell’immaginario collettivo la minaccia informatica arriva via mail: è un messaggio ben mascherato, contenente un link o un allegato, e sarà sufficiente fare attenzione a ciò che si clicca per evitare di installare pericolosi file senza che siano stati precedentemente analizzati da un antivirus aggiornato. Anche nelle aziende in cui la cultura della sicurezza non è sufficientemente presente, queste minime precauzioni sono parte del bagaglio collettivo e gran parte dei professionisti (a meno di non cadere in un tranello particolarmente ben composto) fa attenzione prima di fare mosse scomposte con una mail in arrivo. Se però la minaccia arrivasse tramite un canale non atteso, allora le barriere potrebbero facilmente cadere: è questa la nuova strada provata dai malintenzionati e tracciata dall’FBI negli ultimi mesi.

La minaccia arriva in una busta

Secondo quanto emerso, un gruppo noto per alcuni attacchi particolarmente noti del recente passato (FIN7) ha tentato una via oltremodo originale per attaccare alcune aziende USA. Il tentativo è stato portato avanti inserendo un malware all’interno di una chiavetta USB “Lily GO” e facendola poi recapitare in ufficio attraverso una busta postale. Niente chiocciolina, insomma: indirizzo e francobollo, quindi l’attesa per capire se il tranello è scattato.

La speranza dei cracker è ovviamente che, spinti dalla curiosità e tranquillizzati da uno strumento apparentemente innocuo, i dipendenti inserissero le chiavette nei propri PC: il malware sarebbe stato installato istantaneamente, potendo quindi agire sulla rete interna per creare backdoor utili per ulteriori finalità. Per mascherare il tentativo, sulle buste era indicata una spedizione Amazon o materiali relativi all’emergenza Covid.

Un attacco ben congegnato, insomma, che l’FBI ha già intercettato a più riprese negli ultimi mesi. Nel mirino le aziende USA (già nel mirino del mondo ransomware negli ultimi mesi): appare evidente come adeguate policy di tutela ed una adeguata formazione di tutti i dipendenti sia fondamentale per salvaguardare la sicurezza delle reti, ricordando come l’elemento umano sia spesso l’anello debole della catena e che non si possa immaginare una strategia di difesa che ignori ciò che un dipendente potrebbe fare se non adeguatamente informato sui rischi che determina.