Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

nuove tattiche

Gli hacker reclutano dipendenti scontenti: a caccia di insider per aggirare la sicurezza dei dati

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Le pressioni sul lavoro e l’economia che rallenta creano un terreno fertile per gli hacker criminali che sfruttano il recruiting di dipendenti scontenti, insiderdisposti a collaborare, per ottenere accessi privilegiati ai sistemi aziendali, bypassando così le tradizionali difese perimetrali

Pubblicato il 23 apr 2026
Luisa Franchina

Presidente Associazione Italiana Infrastrutture Critiche (AIIC)

Tommaso Diddi

Analista Hermes Bay

Protezione dei dati personali a lavoro; Gli hacker reclutano dipendenti scontenti: a caccia di insider per aggirare la sicurezza dei dati
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

L’economia in rallentamento e le crescenti tensioni sul mercato del lavoro stanno creando un terreno fertile per una minaccia informatica particolarmente insidiosa: il reclutamento di dipendenti malintenzionati da parte di gruppi criminali.

Si tratta di un fenomeno in rapida espansione che vede gli attaccanti sfruttare il malcontento dei lavoratori per ottenere accessi privilegiati ai sistemi aziendali, bypassando così le tradizionali difese perimetrali.

Secondo i dati di Proofpoint, azienda specializzata in sicurezza informatica, circa il 32% degli incidenti di perdita dati registrati a livello globale nell’ultimo anno ha coinvolto insider malintenzionati, rispetto al 20% del 2024.

Un incremento significativo che evidenzia come questa tattica stia diventando sempre più prevalente nel panorama delle minacce cyber.

Laptop farming: come la Corea del Nord s’infiltrava nello smart working Usa

Gli hacker criminali sfruttano il recruiting di dipendenti scontenti

Gli attaccanti monitorano attivamente i social media alla ricerca di segnali di insoddisfazione lavorativa.

Licenziamenti, retrocessioni, mancate promozioni, salari stagnanti e persino la
sostituzione di ruoli con sistemi di intelligenza artificiale rappresentano tutti fattori scatenanti che rendono i dipendenti potenziali obiettivi.

Mike McPherson, vicepresidente senior delle operazioni di sicurezza presso ReliaQuest ed ex agente speciale dell’FBI, sottolinea come convincere un dipendente a tradire la propria azienda rappresenti il Santo Graal per i cyber criminali.

Il contatto avviene tipicamente attraverso piattaforme come LinkedIn o tramite email dirette, con proposte che prevedono una spartizione dei proventi derivanti da ransomware o dalla vendita di dati rubati.

Si tratta di offerte che possono risultare particolarmente allettanti per lavoratori e contractor con competenze digitali i cui impieghi vengono delocalizzati o sostituiti dall’automazione.

Gravi conseguenze economiche di questi attacchi

Secondo IBM, le violazioni assistite da insider hanno comportato per le aziende un costo medio di quasi cinque milioni di dollari lo scorso anno, superiore a qualsiasi altra forma di attacco informatico.

Sebbene meno comuni rispetto ad altre tattiche, gli attacchi con il supporto di insider malintenzionati si rivelano quindi più redditizi per i criminali.

Oltre all’impatto finanziario diretto, si registrano danni reputazionali più profondi rispetto ad altre tipologie di violazioni, poiché emergono vulnerabilità che vanno oltre le semplici falle tecnologiche e suggeriscono problematiche più radicate nella gestione della sicurezza.

Molti di questi incidenti, secondo gli esperti, non vengono nemmeno resi pubblici, suggerendo che il fenomeno sia sottostimato dalle statistiche disponibili.

Casi concreti illustrano la portata del problema

Ingram Micro, distributore globale di tecnologie informatiche, ha comunicato a luglio che un contractor esterno aveva sottratto file dai repository interni dell’azienda, inclusi dati di dipendenti e candidati contenenti nomi, informazioni di contatto, date di nascita, numeri di previdenza sociale, patenti di guida e passaporti.

Coinbase ha dichiarato che hacker richiedenti venti milioni di dollari come riscatto avevano reclutato agenti di supporto per accedere ai sistemi della piattaforma di criptovalute.

In un post online, l’exchange ha specificato che gli insider avevano abusato dei loro accessi e ha confermato il rifiuto di pagare il riscatto richiesto.

Strategie hacker di recruiting: evolvono e si diversificano

Alcuni attaccanti pubblicano veri e propri annunci di lavoro nelle aree nascoste del web, alla ricerca di dipendenti con competenze tecniche specifiche.

Nord Security ha identificato oltre due dozzine di annunci unici sul dark web nell’ultimo anno, pubblicati da gruppi criminali in cerca di insider disposti a collaborare. Vakaris Noreika, responsabile prodotto di Nord Security, evidenzia come i dipendenti che frequentano il dark web e interagiscono con questi annunci di reclutamento abbiano molto probabilmente competenze tecniche che li rendono partner preziosi.

Un’altra strategia consiste nello scandagliare le qualifiche dei candidati in cerca di lavoro sui siti di networking professionale.

Noreika riferisce che reclutatori criminali hanno recentemente contattato uno dei suoi colleghi su LinkedIn. La collaborazione tra criminali informatici e insider può essere bidirezionale, con i primi che forniscono agli insider strumenti di hacking, malware e la propria esperienza tecnica.

Hacker infiltrati

Esiste anche una variante ancora più strutturata di questa minaccia: l’infiltrazione diretta di hacker all’interno delle organizzazioni per spacciarsi come lavoratori legittimi.

Il Dipartimento di Giustizia statunitense ha condannato lo scorso anno una donna dell’Arizona a otto anni di carcere federale per aver aiutato hacker nordcoreani a utilizzare credenziali false per ottenere posizioni IT da remoto presso oltre trecento aziende americane.

Lo schema, durato anni, ha generato più di diciassette milioni di dollari di profitti illeciti.

Analogamente, tre cittadini statunitensi si sono dichiarati colpevoli a novembre di aver venduto le proprie identità a hacker nordcoreani, consentendo loro di candidarsi presso aziende target e accedere ai dati dall’interno.

Linee guida della CISA

La Cybersecurity and Infrastructure Security Agency federale ha emesso la scorsa settimana linee guida per aiutare gli operatori di infrastrutture a proteggersi da questi e altri tipi di attacchi da insider malintenzionati.

In una dichiarazione, Steve Casapulla, direttore esecutivo assistente dell’agenzia per la sicurezza delle infrastrutture, ha affermato che gli insider malintenzionati possono compromettere le operazioni, la sicurezza e causare danni reputazionali senza preavviso.

John Fokker, vicepresidente dell’intelligence sulle minacce presso Trellix ed ex membro dell’unità crimini informatici della polizia olandese, definisce il reclutamento di insider una tattica ormai routinaria, più economica, veloce e meno rischiosa rispetto ai tentativi di penetrazione di reti ben difese.

L’impatto è immediato e spesso coinvolgefurto di proprietà intellettuale, sabotaggio o esposizione di dati che le difese perimetrali tradizionali non sono mai state progettate per fermare.

Prevenire il rischio hacker del recruiting dei dipendenti infedeli

La prevenzione richiede un approccio che vada oltre gli indicatori tecnici, focalizzandosi sui segnali comportamentali piuttosto che su quelli tecnologici. Questi possono includere pattern anomali di accesso ai dati, download massicci prima di dimissioni o utilizzo di strumenti non autorizzati e servizi cloud personali.

Prevenire questi incidenti richiede di trattare la minaccia insider come questione sia di sicurezza che di rischio umano, educando i dipendenti sugli approcci di reclutamento utilizzati dai criminali.

Le aziende devono sviluppare strategie di sicurezza consapevoli dei comportamenti che si concentrano su come gli utenti interagiscono con i dati, non solo su dove i dati risiedono.

Patrick Joyce di Proofpoint sottolinea come una percentuale molto ridotta di utenti tenda a generare una quota sproporzionata del rischio complessivo, rendendo fondamentale un monitoraggio mirato e contestuale delle attività anomale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Luisa Franchina
Presidente Associazione Italiana Infrastrutture Critiche (AIIC)
D
Tommaso Diddi
Analista Hermes Bay

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Phishing PagoPA; Device Code Phishing: come proteggersi da un account takeover attraverso una forma di phishing nascosta; Neutralizzata Tycoon 2FA: come il kit phishing che aggirava l'MFA ha compromesso decine di migliaia di account

  • attacchi informatici

    Device Code Phishing: la minaccia che non ruba password, ma compromette gli account utente

    22 Dic 2025

    di Mirella Castigli

    Condividi
  • cybershield cybersecurity360

  • La compliance

    Dal ragionamento all’accountability: la logica come prova documentata

    28 Nov 2025

    di Giuseppe Alverone

    Condividi
  • AI Act: scattano i primi divieti

  • intelligenza artificiale

    AI Act, un anno dopo i primi divieti: il bilancio della conformità e le nuove scadenze della governance

    05 Mar 2026

    di Redazione Cybersecurity360.it

    Condividi
  • Conformità alla NIS 2: il ruolo dei Cda dei fornitori

  • supply chain

    Conformità alla NIS 2: il ruolo dei Cda dei fornitori

    20 Mag 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
0
Lascia un commento, la tua opinione conta.x