Nell’immaginario collettivo, alimentato da decenni di film di spionaggio, il dirigente d’azienda o l’Amministratore Delegato abitano all’ultimo piano dei grattacieli e sono figure protette da sistemi impenetrabili, scorte digitali e tecnologie all’avanguardia che li rendono inattaccabili.

Adesso torniamo alla realtà operativa, che spesso è diametralmente opposta. Il C-Level è il bersaglio più facile, più esposto e tecnicamente più vulnerabile di tutto l’organigramma aziendale. Tant’è, che piaccia o meno.

È dunque necessario fornire strategie di difesa specifiche per la protezione delle figure apicali e dei VIP aziendali, attraverso la combinazione di tecniche di controspionaggio digitale e procedure operative che blindano i processi decisionali critici senza rallentare il business[1].

Whaling e CEO Fraud: inizia la caccia al pesce grosso

Questo fenomeno ha un nome specifico: “Whaling” (letteralmente, la caccia alla balena). A differenza del phishing generico, che è paragonabile a una pesca a strascico dove si lanciano migliaia di ami sperando che qualcuno abbocchi, il whaling è una pesca di precisione.

L’attaccante non spara nel mucchio: seleziona la vittima con cura maniacale, la studia per mesi, ne apprende le abitudini, il linguaggio e le relazioni. E dove trova queste informazioni? Quasi sempre sui social network, suoi e/o dei suoi parenti e/o dei suoi dipendenti.

Infatti, i dirigenti sono spesso costretti per ruolo a mantenere un profilo pubblico molto alto. Partecipano a conferenze, rilasciano interviste, siedono in board di associazioni di categoria. Soprattutto, postano su LinkedIn o Twitter i propri spostamenti con una frequenza che farebbe impallidire un analista di intelligence.

Per un criminale informatico, sapere che il CFO è «in viaggio verso Singapore per chiudere il deal asiatico» (informazione recuperata da un post con foto dalla lounge dell’aeroporto, del CFO stesso, di qualche suo collega, cliente o business partner) è l’innesco perfetto per lanciare una CEO Fraud o una Business Email Compromise (BEC).

La dinamica dell’attacco è semplice quanto efficace. Mentre il CFO è in volo ed è quindi non rintracciabile telefonicamente per diverse ore, all’Ufficio Contabilità arriva una mail urgente dal suo indirizzo (che può essere stato realmente compromesso o semplicemente spoofato con tecniche di typosquatting).

Il tono è perentorio: «Sono in volo, serve un bonifico urgente per sbloccare l’acquisizione prima che atterri, è una procedura straordinaria e confidenziale. Procedi subito, firmo le carte appena atterro».

L’impiegato amministrativo, schiacciato dall’autorità del mittente e dall’urgenza della richiesta, sapendo che effettivamente il CFO si trova su un aereo e c’è il rischio che la richiesta sia reale, con tutte le remore del caso accetta il rischio ed esegue l’ordine. Infatti, ha paura di far saltare l’affare del secolo.

Quando il CFO atterra a Singapore, i soldi sono già stati triangolati su tre conti esteri diversi e sono spariti per sempre.

Sicurezza vista come ostacolo alla velocità del top management

Ma perché questo accade con tale facilità? La risposta risiede in un paradosso della governance: la sicurezza è spesso vista come un ostacolo alla velocità del top management.

Le password complesse danno fastidio, l’autenticazione a due o più fattori (MFA) rallenta l’accesso alle mail, i controlli preventivi sono considerati noiosi o pedanti.

Molti CISO, per timore reverenziale o per esplicita richiesta dall’alto, applicano delle “eccezioni” alle policy di sicurezza proprio per i VIP aziendali. Conservandone le email e nella speranza che, se qualcosa va storto, il VIP se ne assuma la responsabilità.

Creano una corsia preferenziale meno sicura proprio per le persone che gestiscono le informazioni più critiche. Sono errori capitali, le responsabilità sono condivise e se un VIP chiede di accedere a una corsia preferenziale significa che il livello di consapevolezza è ancora troppo basso.

Infatti, i C-Level devono avere più sicurezza degli altri dipendenti, non meno. Devono avere più burocrazia, dare l’esempio e sono pagati anche per questo.

I paradigmi “leading through example“, “tone at the top” e simili formalizzano proprio questa necessità.

Le loro credenziali non aprono solo la loro casella di posta, ma spesso forniscono accesso a dati strategici, finanziari e legali che possono compromettere la sopravvivenza stessa dell’azienda.

Serve una formazione specifica per i C-Level

La formazione per questi profili non può essere il solito corso e-learning generico sul phishing. Deve essere un training di controspionaggio personalizzato, focalizzato sulla gestione della propria impronta digitale pubblica (OSINT) e sulla verifica dei canali di comunicazione.

Ad esempio, deve essere istituita una procedura “fuori banda” per i pagamenti urgenti: se arriva una mail che chiede soldi, la procedura deve imporre una verifica telefonica o tramite un’app di messaggistica sicura precedentemente concordata.

Se il capo non risponde al telefono, il bonifico non parte. Punto.

[1] Proteggere il vertice significa proteggere l’intera azienda, perché un account amministrativo compromesso ha le chiavi del regno. Non possiamo permettere che la comodità di pochi diventi il rischio di tutti. Le strategie di difesa specifiche per i profili ad alto rischio, la gestione delle “eccezioni” in modo sicuro e le procedure antifrode sono trattate approfonditamente nel capitolo sulla Personnel Security del Manuale CISO Security Manager, una guida indispensabile per chi deve difendere l’azienda partendo dalla testa.