Team MailSniper
Autore
Ti siedi al computer la mattina, apri Facebook per vedere cosa è successo durante la notte, e vedi una richiesta di amicizia. È qualcuno con una foto carina, magari un profilo apparentemente normale. Guardi il profilo: ha qualche amico in comune, magari commenta foto di viaggi, sembra una persona vera.
Clicchi su "Accetta".
Bene, appena hai fatto quel click, potresti aver appena dato accesso a un hacker nordcoreano al tuo computer. Non sto esagerando. È esattamente quello che sta succedendo con il gruppo APT37,也叫ScarCruft, che negli ultimi mesi ha perfezionato una tecnica davvero inquietante: usa Facebook come arma per entrare nelle aziende.
APT37 è un gruppo di hacker che lavora per la Corea del Nord. Non sono dilettanti: sono professionisti statali, con risorse e pazienza infinita. Il loro ultimo gioiello? Una campagna di social engineering su Facebook che ha dell'inquietante.
Funziona così: creano profili falsi, spesso con foto rubate da altri profili (tecnica called "catfishing"), e iniziano ad aggiungere persone. Non mandano messaggi subito, non allegati strani, niente di sospetto. Prima costruiscono una relazione: commentano i post, mettono mi piace, parlano del più e del meno. È come il truffatore classico che si presenta alla porta con la divisa del corriere, ma in versione social.
Dopo giorni o settimane di "amicizia", arriva il momento buono. Ti mandano un messaggio apparentemente innocuo: magari un link a un articolo, una foto, un video. Quel link però contiene RokRAT, un malware molto sofisticato che permette agli hacker di controllare il tuo computer da remoto, rubare file, registrare ciò che scrivi, e muoversi lateralmente nella rete aziendale.
Il bello (per loro, non per te) è che tutto questo passa sotto il radar dei filtri tradizionali. L'email sembra pulita, non c'è nessun allegato sospetto, nessun link obviously malevolo. È solo un amico che ti manda qualcosa.
So cosa stai pensando: "Ma io non lavoro per il governo, non ho segreti nucleari, perché dovrebbero attaccare me?"
È esattamente questo il problema. APT37 non cerca solo informazioni governative. Il loro obiettivo include:
E non pensare di essere troppo piccolo per essere nel mirino. Gli APT come APT37 fanno attacchi mirati, ma usano anche tecniche automatizzate che colpiscono centinaia di aziende alla volta. Il tuo piccolo studio commerciale, la tua azienda manifatturiera da 20 dipendenti, il tuo negozio online: sono tutti potenziali obiettivi.
Il danno? Immagina di perdere tutti i file aziendali, i dati dei clienti, le fatture. Il costo medio di un attacco ransomware in Italia nel 2026 supera i 50.000 euro. Per una PMI, è come perdere lo stipendio di tre mesi di un dipendente. Ma il danno reputazionale spesso è peggio: quando i tuoi clienti scoprono che i loro dati sono finiti in mano a hacker nordcoreani, quanti di loro torneranno?
Ok, hai capito il problema. Ma cosa fai adesso? Non puoi smettere di usare Facebook, non puoi impedire ai tuoi dipendenti di avere una vita sociale online. Quello che puoi fare è adottare alcune abitudini che rendono la vita difficile agli hacker.
Prima di tutto, usa il buon senso con le richieste di amicizia. Sembra banale, ma è il primo livello di difesa. Se non conosci la persona, se non avete amici in comune plausibili, se il profilo sembra troppo "perfetto" (foto da catalogo, pochi post, nessuna attività recente), non accettare. E se accetti e dopo ricevi strani messaggi con link, non cliccare mai.
Aggiorna tutto, sempre. So che è fastidioso, ma gli aggiornamenti di sistema, del browser, di Office, chiudono falle che gli hacker sfruttano. RokRAT usa vulnerabilità note per entrare: tenere tutto aggiornato è come avere una porta blindata.
Segmenta la rete. Se il computer di un dipendente viene infettato, l'hacker deve trovare il modo di arrivare al server centrale dove stanno i dati importanti. Se separi la rete in zone (il computer dell'ufficio, il server, la rete wifi degli ospiti), anche se uno viene compromesso, gli altri restano al sicuro.
Filtri email avanzati aiutano. Anche se l'attacco parte da Facebook, spesso il malware viene scaricato da link che passano per email o vengono scaricati come allegati. Un buon filtro antispam che analizza i file in sandbox (cioè li apre in un ambiente isolato per vedere cosa fanno prima di mandarteli) blocca la maggior parte di questi malware prima che arrivino nella tua casella.
forma il personale, ma fallo bene. Non basta mandare una email con le regole. Fai simulazioni di phishing ogni tanto, mandagli un'email finta e vedi chi clicca. Se qualcuno clicca, spiegagli perché quello era un pericolo. È come le esercitazioni antincendio: non servono a punire, ma a preparare.
Sai qual è la cosa più inquietante di questa storia? Che non serve essere un genio dell'informatica per cadere nel tranello. Serve solo un momento di distrazione, una giornata stressante, una curiosità umana normale.
Non farti prendere dal panico, ma non essere nemmeno troppo fiducioso. Gli hacker di APT37 sono pazienti, metodici, e usano le nostre stesse debolezze contro di noi: la voglia di connetterci, di fare nuove conoscenze, di fidarci.
Il mio consiglio? Controlla chi hai tra gli "amici" sui tuoi profili social aziendali. Se vedi profili sospetti, eliminali. E la prossima volta che ricevi un messaggio inaspettato con un link da qualcuno che conosci solo superficialmente, prima di cliccare pensaci due volte. Chiediti: "Questa persona mi ha mai mandato qualcosa prima? Ha senso che me lo mandi adesso?"
A volte la migliore difesa è semplicemente fermarsi un secondo prima di agire.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUn allegato PowerPoint, un caffè freddo sulla scrivania, e una backdoor che apre le portre ai servizi segreti russi. APT28 colpisce ancora con PRISMEX, un malware invisibile che ha bucato le difese di governi e contractor della difesa. Ecco il racconto di come funziona davvero un attacco di spionaggio cyber.
LeggiGli attacchi alla supply chain come TeamPCP hanno rubato codice sorgente da Cisco. Ma il vero problema per le PMI italiane? Non è la notizia in sé - è che il 73% delle aziende non sa di essere esposta. E il costo medio di un breach supera i 150.000 euro.
LeggiUna nuova conferma dal CERT-EU: il cloud della Commissione Europea è stato compromesso da TeamPCP. Mandiant stima oltre 1000 ambienti SaaS colpiti. Non è un problema solo delle grandi corporation: se usi software in cloud, anche i tuoi dati rischiano di essere esposti attraverso la supply chain. Ecco cosa devi sapere.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.