Colpo dall’interno: come i cybercriminali stanno trasformando i dipendenti scontenti nella loro arma più potente

È la tempesta perfetta: rallentamento economico, insicurezza lavorativa e un esercito in crescita di dipendenti infelici. Ma mentre le aziende si affannano a rafforzare le difese digitali, gli hacker stanno aggirando del tutto i firewall - puntando direttamente sulle persone che hanno già le chiavi. Benvenuti nella nuova frontiera del cybercrimine, dove la prossima grande violazione potrebbe stare prendendo forma in silenzio nella sala pausa.

Dati rapidi

• Insider malevoli sono stati coinvolti nel 32% degli incidenti globali di perdita di dati lo scorso anno - contro il 20% del 2024 (Proofpoint).
• Le violazioni facilitate da insider costano alle aziende quasi 5 milioni di dollari in media, più di qualsiasi altro tipo di attacco informatico (IBM).
• Gli hacker reclutano attivamente dipendenti scontenti tramite LinkedIn, email e perfino annunci di lavoro sul dark web.
• Casi noti includono contractor di Ingram Micro e addetti all’assistenza clienti di Coinbase che hanno aiutato cybercriminali.
• Il Dipartimento di Giustizia degli Stati Uniti ha recentemente condannato persone che aiutavano hacker nordcoreani a infiltrarsi in aziende americane come dipendenti.

L’ascesa della minaccia interna

Mentre licenziamenti, salari stagnanti e tagli di posti guidati dall’IA alimentano il risentimento sul lavoro, i cybercriminali colgono l’occasione. Secondo gli esperti, i gruppi ora monitorano sistematicamente i social media alla ricerca di segnali di insoddisfazione dei dipendenti - come promozioni mancate o lamentele pubbliche. Una volta identificato un bersaglio, gli hacker si fanno avanti tramite reti professionali o email, sventolando offerte allettanti: una quota dei profitti da ransomware o un pagamento per dati rubati.

“Convincere un dipendente a tradire la propria azienda è il Santo Graal per i cybercriminali”, afferma Mike McPherson, ex agente dell’FBI oggi in ReliaQuest. La tattica prospera: la ricerca di Proofpoint mostra un’impennata drammatica delle violazioni guidate da insider, con molti episodi mai riportati pubblicamente, il che suggerisce che la portata reale sia ancora più ampia.

Tattiche di reclutamento: da LinkedIn al dark web

I metodi di reclutamento stanno evolvendo. Alcuni attaccanti pubblicano annunci di lavoro sul dark web, cercando specificamente dipendenti con accesso tecnico. Nord Security ha recentemente individuato oltre due dozzine di inserzioni di questo tipo. Altri setacciano proattivamente LinkedIn, contattando professionisti IT o contractor i cui ruoli sono a rischio. In alcuni casi, gli hacker forniscono persino agli insider malware o strumenti di hacking, trasformandoli in complici inconsapevoli.

Gli schemi più audaci prevedono l’infiltrazione diretta: hacker che si candidano a posti di lavoro usando identità false - talvolta fornite da americani compiacenti - per ottenere accesso legittimo. Una donna dell’Arizona è stata condannata a otto anni per aver aiutato hacker nordcoreani a ottenere posizioni IT da remoto in oltre 300 aziende statunitensi, generando 17 milioni di dollari di profitti illeciti.

Perché gli insider sono così pericolosi

Le violazioni abilitate da insider sono rare ma sproporzionatamente distruttive. Non solo infliggono pesanti perdite finanziarie, ma mettono anche a nudo debolezze radicate nella cultura aziendale e nelle pratiche di sicurezza. Come osserva John Fokker di Trellix, reclutare un insider è “più economico, più veloce e meno rischioso” che hackerare dall’esterno - una realtà inquietante per qualsiasi team di sicurezza.

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente pubblicato nuove linee guida, esortando le organizzazioni a concentrarsi sui segnali comportamentali di allarme - come download di dati insoliti o uso di software non autorizzato - più che sulle sole difese tecniche. Patrick Joyce di Proofpoint sottolinea che un numero ridotto di utenti spesso genera la maggior parte del rischio, rendendo essenziale un monitoraggio mirato.

Conclusione: il fattore umano

Man mano che le minacce digitali diventano più sofisticate, l’anello debole potrebbe essere l’essere umano, non l’hardware. Le aziende devono guardare oltre i firewall ed educare i dipendenti sui rischi e sulle tattiche di reclutamento usate dai cybercriminali. Perché, nel mondo in evoluzione del cybercrimine, il nemico interno non è più solo una figura retorica - è una realtà in rapida crescita.

TECHCROOK

Per ridurre il rischio di “insider threat” descritto nell’articolo, una soluzione concreta è YubiKey 5 NFC, chiave di sicurezza hardware per autenticazione forte (FIDO2/WebAuthn e U2F) che aggiunge un secondo fattore fisico agli accessi aziendali. È utile contro furto di credenziali, phishing e uso improprio di account interni, perché rende molto più difficile per un dipendente compiacente o per un attaccante con password rubate autenticarsi senza il dispositivo. Supporta USB-A e NFC per PC e mobile, si integra con servizi come Microsoft, Google e molte VPN/SSO compatibili, e non richiede batterie. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Minaccia interna: Una minaccia interna si verifica quando qualcuno all’interno di un’organizzazione abusa del proprio accesso a sistemi o dati, intenzionalmente o accidentalmente, causando danni.
• Dark web: La Dark Web è la parte nascosta di Internet, accessibile solo con software speciali, dove spesso si svolgono attività illegali e si garantisce l’anonimato.
• Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
• Frode delle credenziali: La frode delle credenziali si verifica quando gli attaccanti usano dati di accesso rubati o falsi per entrare nei sistemi, spesso causando violazioni dei dati e perdite finanziarie.
• Monitoraggio comportamentale: Il monitoraggio comportamentale traccia l’attività di utenti e sistemi per individuare schemi insoliti, aiutando a rilevare e prevenire attacchi informatici o azioni non autorizzate.