Barracuda full logo

Il servizio di assistenza aziendale è anche un vettore di minaccia

Argomenti:
15 ago 2025
|
Christine Barry

Il tuo help desk è destinato a risolvere problemi, non a crearli. Tuttavia, poiché gli attaccanti sono diventati più abili nell'ingegneria sociale, hanno trasformato sempre più il help desk in un potente punto di ingresso per gli attacchi informatici.

A meno che non si parli di insider dannosi o errori dei dipendenti, è controintuitivo considerare il help desk come un vettore di minaccia. Dopotutto, stiamo parlando del team di supporto tecnico. Questi dipendenti sono professionisti IT formati sulle politiche aziendali e hanno almeno una conoscenza di base della sicurezza informatica. Non tutti i dipendenti ricevono un'adeguata integrazione, ma il tuo team IT saprebbe almeno evitare di consentire a un attore di minaccia di avere una password o privilegi elevati.

E se un attore della minaccia sta cercando di infiltrarsi nella rete aziendale, non vorrebbe evitare il team IT? Sono le persone più propense a coglierlo. Non è forse questo il punto degli schemi di attacco che utilizzano tecniche di furtività e evasione e tecniche di living off the land (LotL)?

Sembra così, ma diamo un'occhiata più da vicino:

  • Gli help desk hanno accesso a risorse preziose. Questi tecnici possono reimpostare le password, reimpostare o disabilitare l'autenticazione multifattoriale (MFA), modificare i privilegi utente, visualizzare i dettagli dell'utente e del sistema e altro ancora. L'help desk è un forziere per un attore delle minacce, quindi continueranno a sviluppare e provare nuovi exploit.
  • I desk di assistenza sono spesso il punto di partenza per i professionisti IT e della sicurezza informatica. Potrebbero esserci esperti nello staff, ma è qui che molti laureati in reti e sicurezza entreranno nel settore. Potrebbero non avere abbastanza esperienza, conoscenza dell'azienda e della rete o fiducia in sé stessi per riconoscere e rispondere adeguatamente ad attività sospette. Per alcuni di loro, il desk di assistenza è la loro prima esperienza in un ambiente frenetico con una rete imperfetta.
  • I help desk sono spesso a corto di personale e sovraccarichi. La domanda di professionisti della sicurezza continua a crescere, soprattutto ora che gli attori delle minacce hanno armato l'intelligenza artificiale (IA) nei loro attacchi. Il settore è già a corto di personale, il che significa che una persona può svolgere il lavoro di 1,5-2 dipendenti a tempo pieno. Questo può essere estenuante, specialmente se il help desk gestisce anche molti falsi positivi.

Tenendo presente ciò, il servizio di assistenza sembra un vettore ovvio. Nelle mani di un abile attaccante, il servizio di assistenza può fornire le risorse più preziose dell'azienda.

Attacchi all'help desk

Per illustrare come funzionano questi attacchi, esamineremo quattro tattiche e incidenti, iniziando con Twitter SIM swaps nel 2019. Gli attori della minaccia hanno utilizzato l'ingegneria sociale per ingannare i centri di assistenza dei gestori telefonici affinché effettuassero SIM swaps dalle vittime agli attaccanti. 'SIM swap' significa semplicemente che il gestore telefonico ha trasferito il numero di telefono dalle schede SIM delle vittime alle schede SIM nei telefoni posseduti dagli attaccanti. Ciò ha dato agli attaccanti accesso ai codici di autenticazione multifattoriale e altri necessari per prendere il controllo degli account Twitter e dei portafogli di criptovaluta.

Questo è un attacco comune a persone di alto profilo come celebrità e influencer, specialmente coloro che utilizzano criptovalute. Brian Krebs ha ulteriori informazioni su questi attacchi e le conseguenze.

Il gruppo LAPSUS$ ha fatto notizia durante il 2021-2022 con i suoi attacchi riusciti di furto d'identità dell'help desk interno contro grandi organizzazioni tra cui Microsoft, Nvidia, Samsung e Okta. Il gruppo si è preparato per gli attacchi esaminando fonti pubbliche, social media e violazioni dei dati disponibili attraverso il dark web. I membri di LAPSUS$ hanno quindi contattato gli help desk aziendali e si sono spacciati per dipendenti che avevano bisogno di assistenza urgente con credenziali o dispositivi. Queste truffe utilizzavano spesso vishing (voice phishing) o messaggi diretti per aumentare la loro credibilità.

LAPSUS$ ha anche utilizzato il furto d'identità del help desk per supportare altre truffe. Una tecnica comune consiste nello spammare i dipendenti con ripetute richieste di autenticazione multifattoriale (MFA) e seguire con una chiamata per incoraggiare il dipendente ad approvare l'autenticazione. LAPSUS$ si impegna anche in smishing (phishing via SMS), spear-phishing e SIM swapping per intercettare comunicazioni e codici di autenticazione. Il gruppo ha anche perseguito il reclutamento di insider, offrendo compensazione per l'accesso privilegiato o l'escalation. Queste tattiche combinate hanno permesso loro di violare ambienti sensibili e lanciare attacchi ransomware e altri attacchi. Molte volte, il successo del gruppo poteva essere attribuito allo studio del bersaglio e all'harassment del personale fino a quando non commettevano un errore.

 

Nel 2022 il gruppo di minacce 0ktapus ha utilizzato sia smishing che vishing per compromettere Twilio, un provider di comunicazioni cloud. Questo è stato un attacco di ingegneria sociale sofisticato e multi-stage. Ecco la cronologia:

  • 29 giugno 2022: gli attori della minaccia 0ktapus impersonano il team IT in attacchi vishing ai dipendenti di Twilio. Un chiamante convince un dipendente a fornire credenziali funzionanti, il che porta a circa 12 ore di accesso non autorizzato ai dati di contatto dei clienti.
  • Metà luglio 2022: gli attaccanti lanciano una campagna di smishing che bombarda gli attuali ed ex dipendenti di Twilio con falsi avvisi e link dannosi per il reset delle password. Alcuni di questi attacchi hanno successo e gli attori della minaccia ottengono accesso alla rete di Twilio e ai dati dei clienti.
  • 4-9 agosto 2022: Twilio viene a conoscenza dell'intrusione nella rete e della violazione dei dati e inizia una risposta, sebbene gli attori della minaccia 0ktapus mantengano l'accesso per altri due giorni dopo il rilevamento . Come parte della risposta, Twilio lavora con gli operatori e i provider di hosting per chiudere l'infrastruttura di smishing e furto di credenziali.
  • Agosto–Ottobre 2022: Twilio indaga insieme a partner di analisi forense e aggiorna il suo precedente rapporto sull'incidente.

"La nostra indagine ci ha anche portato a concludere che gli stessi attori dannosi erano probabilmente responsabili di un breve incidente di sicurezza avvenuto il 29 giugno 2022. Nell'incidente di giugno, un dipendente di Twilio è stato vittima di ingegneria sociale tramite phishing vocale (o 'vishing') per fornire le proprie credenziali, e l'attore dannoso è stato in grado di accedere alle informazioni di contatto dei clienti per un numero limitato di clienti." ~ Rapporto sull'incidente Twilio, 7 agosto 2022

Il gruppo di minaccia Scattered Spider ha utilizzato attacchi vishing per infiltrarsi nelle MGM Resorts nel settembre 2023. Qui, i chiamanti hanno utilizzato LinkedIn per identificare un dipendente di MGM e poi hanno impersonato quell'individuo in una chiamata al help desk dell'azienda. Il chiamante ha dichiarato di essere bloccato fuori dal sistema e ha chiesto aiuto per ripristinare l'accesso. Purtroppo, questo ha funzionato e gli attaccanti hanno ottenuto accesso privilegiato agli ambienti Okta e Azure AD dell'azienda. Ciò ha dato a Scattered Spider accesso illimitato ai sistemi di gestione delle identità e degli accessi di MGM. Potevano gestire gli account utente, disabilitare i controlli di sicurezza e concedersi l'accesso a qualsiasi cosa integrata con le piattaforme compromesse.

Una volta ottenuto l'accesso iniziale da parte di Scattered Spider, il gruppo di ransomware ALPHV ha lanciato il suo attacco contro l'azienda. A partire dalla fine del 2023, l'attacco è costato a MGM una cifra stimata di $100 milioni in entrate perse, spese di consulenza e legali, e altre spese relative al recupero, agli aggiornamenti di sicurezza e alle questioni di conformità.

Perché questi attacchi funzionano

Abbiamo visto che gli attori delle minacce sono disposti a prendere il telefono e impersonare sia un addetto al supporto tecnico sia un dipendente che necessita di assistenza del supporto tecnico. Questi attori delle minacce sono "chiamanti" specializzati nel vishing e in altre tecniche di ingegneria sociale. Sono abili nell'impersonificazione e nella conversazione improvvisata, e spesso si preparano per una chiamata scrivendo un copione o raccogliendo dettagli sul bersaglio. Spesso sono giovani anglofoni con sede in Inghilterra e negli Stati Uniti, e molti sono stati affiliati a un gruppo noto come "The Com". Questa è una comunità liberamente organizzata di adolescenti e giovani adulti che iniziano a partecipare a queste attività per notorietà, e poi continuano una 'carriera' nel crimine informatico per il denaro . Gruppi come Scattered Spider (UNC3944), LAPSUS$, 0ktapus, Star Fraud, Octo Tempest , e Scatter Swine sono tutti emersi da The Com . Per trasparenza, alcuni di questi nomi sono alias per un singolo gruppo, e alcuni di questi gruppi condividono membri. Poiché questi attori delle minacce sono cresciuti attraverso The Com, hanno imparato a lavorare in gruppi organizzati in modo approssimativo che utilizzano molte delle stesse tecniche. Questo può rendere difficile l'attribuzione degli attacchi, ma le forze dell'ordine hanno avuto notevole successo contro questi attori delle minacce con sede in Occidente.

Il help desk non è vulnerabile solo perché questi attori di minacce sono bravi in quello che fanno. Non ci sono abbastanza aziende con controlli in atto per proteggere i dipendenti da questi attacchi. Che l'attaccante stia impersonando il help desk o un dipendente non del help desk, l'attacco può essere fermato con i giusti controlli di sicurezza.

Difendere la tua azienda dagli attacchi al help desk

Come qualsiasi altro tipo di sicurezza informatica, ci sono più livelli di difesa che possono essere implementati. Ecco alcune delle best practice più accessibili:

Procedure rigorose di verifica degli utenti: Richiedi l'autenticazione a più fattori e una verifica dettagliata prima di elaborare richieste sensibili (come reimpostazioni password o modifiche di accesso). Applica politiche che vietano la divulgazione o la reimpostazione delle credenziali senza validazione dell'identità in più passaggi. Puoi utilizzare protocolli di richiamata, rubriche interne, link a ticket interni e domande di sfida per l'identità.

Controlli di accesso e segmentazione: Limitare l'accesso dell'help desk ai sistemi e ai dati sensibili basandosi sul principio del minimo privilegio. Segregare i compiti in modo che nessun singolo membro del personale possa approvare e avviare unilateralmente azioni ad alto rischio. Utilizzare conferme fuori banda, come una seconda chiamata telefonica a un numero verificato, prima di eseguire un recupero di account o un'escalation dei privilegi.

Tracce di audit e monitoraggio: Registra tutte le attività del help desk, in particolare quelle che coinvolgono modifiche sensibili o accesso alle credenziali, e monitora proattivamente i modelli che possono indicare abusi, come ripetuti reset delle password o rapide escalation di accesso.

Rivedere e aggiornare regolarmente le politiche di sicurezza: Condurre valutazioni programmate regolarmente delle procedure del help desk rispetto alle minacce più recenti del settore e aggiornare i protocolli secondo necessità. Utilizzare l'intelligence sulle minacce relative a tattiche emergenti insieme ai dati dai registri del help desk e altre fonti interne per informare le nuove politiche.  

Formazione continua sulla sicurezza: Formare regolarmente i dipendenti per riconoscere le tattiche di phishing, vishing e ingegneria sociale, e aumentare la consapevolezza degli attacchi deepfake. Utilizzare scenari di attacco simulati per sviluppare familiarità e resilienza. Incoraggiare il personale a segnalare immediatamente i tentativi sospetti di ingegneria sociale o le richieste anomale, con protocolli chiari di escalation e risposta per attività insolite.

Dovresti anche considerare l'uso di autenticazione MFA resistente al phishing, come le chiavi FIDO2 o l'autenticazione basata su app. Questo limiterà l'efficacia degli attacchi di SIM swap e ingegneria sociale.

Anche i team IT più piccoli possono implementare alcuni di questi controlli. Se hai solo un addetto IT, puoi comunque utilizzare protocolli di verifica e richiedere un ulteriore livello di approvazione per le richieste ad alto rischio. Un semplice sistema di ticket può creare tracce di audit, e una revisione regolare delle politiche e delle procedure di sicurezza dovrebbe già essere in atto. Non è facile stabilire e far rispettare una buona sicurezza del help desk, ma sta diventando sempre più importante.

Christine Barry

Christine Barry Senior Chief Cybersecurity Storyteller e Content Manager presso Barracuda. Prima di unirsi a Barracuda, Christine è stata ingegnere di campo e project manager per clienti K12 e SMB per oltre 15 anni. Possiede diverse credenziali in tecnologia e gestione dei progetti, un Bachelor of Arts e un Master of Business Administration. Si è laureata presso l'Università del Michigan.

Connettiti con Christine su LinkedIn qui.

 

Unisciti alla nostra community su Reddit!

Post correlati:
August’s top threat actors: Ransomware, espionage and infostealers
August’s top threat actors: Ransomware, espionage and infostealers
 Malware Brief: Crafty phishing, BYOVD and Android RATs
Malware Brief: Crafty phishing, BYOVD and Android RATs
 Survey sees global decline in data breach costs
Survey sees global decline in data breach costs
 WolfGPT: The “Upgraded” Dark AI for Malware
WolfGPT: The “Upgraded” Dark AI for Malware
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.