In un’epoca in cui le minacce informatiche assumono le forme più impensabili, è sempre più evidente che il pericolo può annidarsi ovunque. Anche, e forse soprattutto, dove nessuno lo aspetta: e cosa c’è di più innocuo, nella quotidianità aziendale, di un curriculum vitae ricevuto via email?
Un semplice file allegato, magari un documento Word o un PDF, contenente esperienze lavorative, competenze, contatti. Nulla di strano. Anzi, fa parte della routine, spesso ripetitiva, del team HR.
Peccato che questo gesto apparentemente banale stia diventando un vettore di attacco tra i più subdoli.
Indice degli argomenti
Lo scenario d’attacco
Parliamo del gruppo FIN6, noto nome nel panorama delle minacce avanzate persistenti (APT), che ha adottato una tecnica tanto efficace quanto inquietante: fingersi candidato in cerca di lavoro per colpire le aziende dall’interno, sfruttando la buona fede di chi gestisce le risorse umane.
E no, non si tratta di un’ipotesi remota, di un attacco da film americano ambientato in un grattacielo di Manhattan. È una strategia assolutamente riproducibile anche in Italia. Anzi, è molto probabile che stia già accadendo, sotto i nostri occhi, magari in modo meno strutturato ma non per questo meno pericoloso.
Il meccanismo è tanto semplice quanto insidioso: l’hacker crea un’identità fittizia, si presenta come un normale candidato, avvia una conversazione con il recruiter e invia un documento contenente codice malevolo.
Basta un clic, una macro attivata con leggerezza, o anche solo un link a un finto portfolio online e il gioco è fatto. L’endpoint è compromesso, la porta è aperta. E se quella macchina è collegata alla rete aziendale, com’è spesso il caso, la fase due dell’attacco può cominciare: lateral movement, privilege escalation, furto di credenziali, esfiltrazione dati, installazione di una backdoor persistente: il solito copione, ma partito da dove non te lo aspetti.
La sicurezza delle postazioni HR non è un lusso
Ora, facciamoci una domanda scomoda: quanto sono preparati, in Italia, i team HR ad affrontare uno scenario simile?
La risposta, purtroppo, la conosciamo. In molte aziende, anche di medie dimensioni, la sicurezza delle postazioni HR è ancora vista come un lusso.
I recruiter non ricevono quasi mai formazione specifica sulla cyber security, né dispongono di strumenti di analisi preventiva dei file ricevuti. CV allegati in Word? Li aprono. Link a GitHub o Behance? Cliccano. E questo non per negligenza, ma per mancanza di cultura digitale orientata alla sicurezza.
Diciamocelo: chi si occupa di selezione del personale non viene percepito come una figura ad alto rischio informatico. Grave errore. Perché proprio quell’anello debole, se sfruttato da attori competenti, può diventare il primo passo verso una compromissione ben più ampia.
Cyber security e ufficio HR: serve formazione specifica
Non servono strumenti avanzati, zero-day costosi o infrastrutture C2 da migliaia di euro. Questo tipo di attacco si regge sull’ingenuità, sulla fiducia mal riposta, sul desiderio di fare il proprio lavoro in modo efficiente. Ed è esattamente su queste corde che fa leva chi orchestra campagne mirate come quella di FIN6.
Non è nemmeno necessario scomodare la grande criminalità organizzata. In Italia, lo sappiamo, esistono gruppi meno noti ma estremamente attivi che hanno già usato tecniche simili per colpire studi professionali, PMI e, in alcuni casi, anche enti pubblici.
Email con CV infetti ne sono arrivate, eccome. Magari bloccate da un antivirus aggiornato, magari no. Magari archiviate tra le “segnalazioni strane” del SOC, magari ignorate. In ogni caso, il seme è stato piantato.
E qui tocchiamo un altro nodo cruciale: il dato personale. I team HR trattano dati estremamente sensibili, non solo per quantità ma per natura. CV, certificati medici, documenti d’identità, persino casellari giudiziari nei casi di assunzioni in ambienti sensibili.
Una compromissione in quell’ambito non è solo un problema tecnico. È una potenziale violazione del GDPR, con tutto ciò che comporta: sanzioni, obblighi di notifica, danni reputazionali, contenziosi civili. Altro che “una mail sbagliata”.
Serve investire in tecnologia e formazione
Cosa possiamo fare, allora? Sarebbe facile rispondere con il solito elenco di best practice, che pure sono fondamentali.
Ma la verità è che il primo passo è culturale. Bisogna cambiare narrazione interna: far comprendere che ogni funzione aziendale, anche quella apparentemente lontana dal mondo IT, può diventare bersaglio. E che le minacce più insidiose non sono sempre le più tecniche: spesso si nascondono tra le pieghe della normalità, negli strumenti di lavoro quotidiani, nei gesti abituali.
Il secondo passo è investire. Non solo in tecnologia, ma in formazione. Una mezza giornata di training specifico all’anno per il team HR può fare la differenza tra un’infezione riuscita e un tentativo sventato.
E poi, certo, serve anche il supporto tecnico: sandboxing per gli allegati, segmentazione delle reti, workstation virtuali, policy rigide sulle macro e sugli script. Tutte misure già note, ma troppo spesso applicate a macchia di leopardo.
Cosa impariamo: quando la vulnerabilità è umana
Quello che il caso FIN6 ci ricorda, e che dovremmo tenerci ben stretto, è che l’attacco informatico non arriva sempre dalla porta principale.
A volte, bussa alla reception con in mano un CV ben scritto.
E quando la fiducia è mal riposta, la vulnerabilità non è tecnica: è umana.
