La tua busta paga è a zero! Complimenti, qualcuno ha risposto male al telefono

Nessun lavoratore accetterebbe di vedere il proprio stipendio sparire senza spiegazioni. È proprio da una serie di segnalazioni interne di questo tipo che un’organizzazione ha iniziato a indagare su un’anomalia apparentemente amministrativa, scoprendo invece un attacco informatico mirato. Un soggetto esterno era riuscito a modificare le coordinate di accredito degli stipendi, dirottando i pagamenti verso conti sotto il suo controllo.

L’origine dell’incidente non è stata una sofisticata violazione tecnica, ma una semplice telefonata. Secondo il Global Incident Response Report 2025 – Social Engineering Edition dell’Unità 42, il 36% degli incidenti gestiti nel periodo analizzato ha avuto origine da tecniche di ingegneria sociale. Tra queste rientrano phishing, vishing, manipolazione dei motori di ricerca, falsi prompt di sistema e interazioni fraudolente con gli help desk.

Nonostante la disponibilità di strumenti di sicurezza avanzati, gli aggressori continuano a sfruttare con successo tattiche consolidate. Invece di forzare sistemi o distribuire malware, in molti casi scelgono di aggirare i controlli tecnologici rivolgendosi direttamente alle persone che gestiscono i processi aziendali.

L’attacco: quando l’ingegneria sociale colpisce i processi

L’accesso iniziale non è avvenuto tramite una vulnerabilità tecnica. L’autore dell’attacco ha messo in atto una campagna di ingegneria sociale, fingendosi un dipendente e contattando più help desk, inclusi quelli di IT, risorse umane e servizi condivisi per la gestione delle paghe. Attraverso queste interazioni è riuscito a superare i meccanismi di verifica challenge/response, inducendo il personale a reimpostare password e a registrare nuovamente i dispositivi di autenticazione a più fattori.

I social network hanno giocato un ruolo chiave. Le informazioni pubblicamente disponibili hanno consentito all’aggressore di preparare risposte credibili alle domande di verifica. In alcuni casi, le chiamate sono state ripetute più volte con l’obiettivo di comprendere il tipo di controlli adottati, raccogliendo progressivamente i dati necessari per un accesso riuscito. La crescente quantità di informazioni personali e professionali online ha reso questa fase di ricognizione particolarmente efficace.

Una volta ottenuto l’accesso, il soggetto ha cercato di garantirsi una presenza duratura, registrando un indirizzo email esterno come metodo di autenticazione per un account di servizio all’interno dell’ambiente Azure AD dell’organizzazione. Un segnale chiaro di un intento che andava oltre l’immediata frode sugli stipendi.

La deviazione delle buste paga e la scoperta dell’incidente

Dopo l’autenticazione nel sistema di gestione delle paghe, l’azione è stata rapida. Diversi account di dipendenti sono stati compromessi, consentendo l’accesso a dati sensibili. Le coordinate di accredito diretto sono state modificate e gli stipendi reindirizzati verso conti bancari controllati dall’attaccante.

Poiché le credenziali utilizzate erano valide e l’autenticazione multifattore risultava regolare, le attività non hanno generato allarmi immediati. L’incidente è emerso solo quando alcuni dipendenti hanno segnalato il mancato pagamento. L’indagine interna ha individuato modifiche sospette risalenti a settimane prima, portando l’organizzazione a coinvolgere un consulente legale e successivamente l’Unità 42 per un’analisi completa.

L’intervento dell’Unità 42

Una volta incaricata, l’Unità 42 ha avviato un’indagine approfondita. Il team ha condotto attività di threat hunting utilizzando Cortex XSIAM, correlando dati provenienti da più fonti: sistemi di gestione delle paghe, piattaforme HR e log dei firewall di nuova generazione dell’organizzazione.

L’analisi ha confermato che l’impatto dell’incidente era circoscritto alla compromissione degli account e alla deviazione degli stipendi, senza evidenze di movimenti laterali o di esfiltrazione di dati dalla rete interna.

Nel corso delle verifiche, tuttavia, è emersa un’ulteriore criticità: la presenza di una compromissione attiva riconducibile al ransomware WannaCry all’interno dell’ambiente OT legacy dell’organizzazione. Una minaccia nota da anni, rimasta silente nei sistemi operativi industriali.

Contenimento e rafforzamento della sicurezza

L’Unità 42 ha collaborato con il cliente per bloccare rapidamente gli account compromessi, annullare le modifiche fraudolente alle buste paga e ripristinare il controllo delle identità cloud coinvolte. Parallelamente, sono state fornite indicazioni per il rafforzamento degli ambienti IT e OT.

Le raccomandazioni hanno incluso il miglioramento delle procedure di verifica degli help desk, il rafforzamento dei flussi di applicazione e recupero dell’autenticazione multifattore, una registrazione più completa degli eventi con integrazione in Cortex XSIAM e interventi mirati per affrontare la diffusione di WannaCry nei sistemi OT.

Nonostante l’attacco iniziale, l’impatto complessivo è rimasto limitato a tre account dipendenti. Un risultato legato sia alla rapidità di risposta dell’organizzazione sia all’obiettivo dell’aggressore, focalizzato sul guadagno economico piuttosto che su una compromissione più estesa della rete.

Le lezioni emerse dall’indagine

L’incidente evidenzia una tendenza sempre più diffusa: gli aggressori puntano sui processi operativi e sulle interazioni umane, in particolare sugli help desk, aggirando i controlli tecnici tradizionali. Attività come la reimpostazione delle password o l’iscrizione all’MFA, se non gestite con procedure rigorose, possono trasformarsi in punti di vulnerabilità ad alto impatto.

Il caso dimostra inoltre come indagini avviate per frodi circoscritte possano portare alla scoperta di problemi strutturali più profondi, come la presenza prolungata di malware in ambienti industriali.

Alla luce di queste dinamiche, le organizzazioni sono chiamate a trattare i flussi gestiti da persone con lo stesso livello di controllo riservato ai meccanismi di autenticazione tecnica. Elementi chiave restano la visibilità unificata sull’ambiente, la preparazione dei team di sicurezza e procedure di verifica rigorose per ogni richiesta legata all’identità digitale.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.