Risposte Out Of Office e sicurezza informatica: perché un messaggio automatico può essere un pericolo per il phishing

Un gesto all’apparenza innocuo: l’impostazione di un automatic reply per il “fuori sede”.

Impostare una risposta automatica per le ferie o per i viaggi di lavoro. Una pratica comune, diffusa, utile a chi si concede una pausa lavorativa o non ha accesso alle e-mail per comunicare immediatamente con chi si aspetta di ricevere una risposta alla propria richiesta. “Sono fuori ufficio fino al…”, “Contattare il collega per urgenze…”. Una comunicazione che all’apparenza sembra innocua…e difficilmente si associa il phishing ad un gesto automatico come questo. Eppure da questa routine possono essere inviate informazioni che agevolano un attacco informatico.

Le aziende si concentrano su tecnologie, firewall, autenticazione a due fattori, backup e protezione degli endpoint.  I messaggi di out of office comportano dei rischi? Ebbene si, ogni informazione condivisa – nome, ruolo, date, contatti – può diventare un tassello utile per chi pianifica un attacco, soprattutto ad un hacker esperto che osserva ciò che a molti appare scontato.

In questo articolo

Siamo in estate, metà azienda è in ferie e tra i messaggi automatici che rimbalzano nelle inbox, ce n’è uno che colpisce particolarmente il potenziale attaccante: “Mario Rossi, responsabile acquisti, è assente fino al 24 agosto. Per urgenze, rivolgersi a Laura – ufficio acquisti”. Per un hacker sono dati che valgono oro.

Da qui in avanti, chi sta per sferrare l’attacco ricostruisce i ruoli e prepara il campo. In pochi minuti viene registrato un dominio simile a quello aziendale, viene inviata una mail a priorità alta con un testo credibile, la firma è di Laura. L’urgenza è più che plausibile: “Abbiamo bisogno della tua approvazione per procedere con il pagamento del fornitore estero, compila il form con tutti i dati richiesti”. Nessun allegato, solo testo, proprio come una classica mail interna tra colleghi. Il destinatario, sotto pressione e con senso di urgenza, clicca. L’attacco ha inizio.

Nel caso di una nota casa di produzione cinematografica francese, anni fa un attacco simile causò la perdita di 21,5 milioni di dollari. I criminali si finsero dirigenti aziendali, convincendo il CFO a effettuare bonifici su conti controllati, raccomandando, sempre via e-mail, di mantenere tutte le informazioni su una nuova acquisizione societaria, strettamente confidenziale. (fonte: Malwarebytes)

In questo caso, nessuna tecnologia particolarmente evoluta o malware ad hoc, solo tecniche di social engineering. La dinamica spesso segue lo stesso schema: fiducia, urgenza, struttura formale. La mail arriva da un account compromesso o da un dominio molto simile, con uno stile che ricalca quello aziendale. L’approvazione sembra legittima e in linea con policy e gerarchia aziendale. Se nessuno sospetta, il bonifico può partire e quando il team si accorge dell’errore, il danno è fatto. Ad estendere la superficie d’attacco quindi non tanto la tecnica, quanto l’aspetto comportamentale.

Anche una e-mail automatica rappresenta un possibile punto di accesso. La differenza tra un messaggio generico e uno dettagliato può determinare l’efficacia di un attacco. Nomi, ruoli, date e recapiti telefonici sono elementi che, combinati, permettono di costruire uno scenario credibile per un hacker. Per un attaccante, bastano cinque informazioni per iniziare un’azione: chi è assente, per quanto tempo, chi lo sostituisce, su quale tema, con quale urgenza.

La cultura della sicurezza dovrebbe iniziare proprio qui con un cambio di mentalità anche sulle comunicazioni, pensate in ottica di rischio. E per i CISO? Significa includere anche il formato del messaggio out of office nelle policy aziendali. I vettori di rischio diventano quindi l’assenza di una linea guida condivisa, l’improvvisazione e la mancanza di formazione.

La buona notizia è che prevenire è semplice. Basta definire messaggi standard, essenziali, senza nomi e riferimenti diretti. “Grazie per il tuo messaggio. Al momento non sono disponibile. Risponderò appena possibile.” Per contatti urgenti, si può indicare una casella generica (es. supporto@azienda.it).

Internamente si può prevedere un secondo messaggio più informativo, ma sempre limitato all’essenziale. Le figure più esposte – come CEO, CIO, CFO, responsabili acquisti – dovrebbero avere testi approvati o generati da un template centralizzato. Il team IT può affiancare HR e comunicazione per strutturare una linea guida semplice, valida tutto l’anno. Da queste piccole azioni si può ottenere un grande impatto sulla sicurezza globale in azienda.

Quando la sicurezza informatica diventa un’abitudine consolidata in azienda, le azioni vengono valutate in funzione del rischio. L’email automatica, la firma, il post sui social, il comportamento durante un viaggio…tutto concorre alla postura di sicurezza dell’azienda. In Infor supportiamo le aziende e i responsabili della sicurezza proprio in questo: creare playbook di sicurezza informatica quotidiana, semplificare i processi ma con un’attenzione costante alla cybersecurity.

BeeCyber, business unit Infor che si occupa di cybersecurity per proteggere dati e business, offre un modello evoluto di cybersecurity “as-a-service”, pensato per le aziende che vogliono rafforzare la propria sicurezza senza appesantire il reparto IT interno.

Attraverso un approccio integrato che combina tecnologie avanzate, competenze specialistiche e monitoraggio continuo, supportiamo le imprese nella difesa dei dati, nella conformità normativa e nella continuità operativa.

Una mail al mese sui temi più caldi della cybersecurity. Iscriviti ora!
Compila il form per iscriverti alle nostre Cybernews