Quando il telefono suona in ufficio: così il

Il lunedì 12 maggio 2025, alle 9 e 47 minuti, il centralino dello studio legale Morrison & Partners a Chicago riceve una chiamata. La voce all'altro capo è calma, professionale. Si presenta come Kevin Huang, del dipartimento IT della sede centrale. Dice che c'è un problema con il server di posta e che serve un accesso remoto per risolverlo. La segretaria, Maria, non ha motivo di dubitare. Il tono è quello di chi sa esattamente cosa sta facendo. Fornisce le credenziali.

Quello che Maria non sa è che Kevin Huang non esiste. E che in quel preciso momento, a migliaia di chilometri di distanza, un gruppo di hacker sta attivamente esfiltando terabyte di dati sensibili dai server dello studio legale.

Il fenomeno che nessuno aveva previsto

Questa non è la solita storia di phishing via email. È qualcosa di nuovo, qualcosa che ha fatto saltare tutti gli allarmi nei corridoi della cybersecurity americana. UNC3753, un gruppo criminale identificato dai ricercatori di Mandiant, ha condotto una campagna di estorsione dati che ha colpito oltre 60 organizzazioni in soli sei mesi. Servizi professionali, studi legali, aziende finanziarie: il bersaglio era sempre lo stesso, dati sensibili che potessero essere usati come leva per estorcere denaro.

Ma la particolarità di UNC3753 non sta solo nel numero delle vittime. Sta nel metodo. Questo gruppo non si è affidato solo alle email malevole. Ha usato il vishing, ovvero il phishing vocale, combinato con intrusioni fisiche negli uffici. In pratica, hanno chiamato al telefono e si sono presentati di persona.

I numeri parlano chiaro: secondo le stime del settore, gli attacchi di vishing sono cresciuti del 500% negli ultimi tre anni. Ma la maggior parte delle aziende non ha ancora protocolli per gestire chiamate che richiedono accessi privilegiati. Il risultato? Un buco nella difesa grande quanto una porta aperta.

Come funziona l'attacco: il making of di una rapina digitale

La campagna di UNC3753 era pianificata come un'operazione militare. Ogni attacco seguiva una sequenza precisa, studiata nei minimi dettagli.

Fase uno: la ricerca. Prima di tutto, gli hacker raccoglievano informazioni pubbliche sull'organizzazione target. LinkedIn, siti web aziendali, annunci di lavoro. Volevano sapere chi fossero i responsabili IT, quali fornitori usassero, come fosse strutturata la rete. In molti casi, queste informazioni erano disponibili online senza nemmeno bisogno di cercarle.

Fase due: il vishing. Con le informazioni in mano, gli attacker chiamavano. Si presentavano come tecnici IT, fornitori, partner commerciali. Usavano toni sicuri, terminologia tecnica appropriata, e soprattutto, conoscevano dettagli che solo un interno avrebbe dovuto sapere. In alcuni casi, la chiamata durava pochi minuti. In altri, costruivano un rapporto di fiducia che durava giorni, chiamando ripetutamente per "verificare" il problema.

Fase tre: l'intrusione fisica. Qui arriva la parte più inquietante. In almeno 12 casi documentati, UNC3753 ha inviato persone fisicamente negli uffici delle vittime. Si presentavano come tecnici per un controllo di routine, o come rappresentanti di fornitori. Con badge falsi e un sorriso professionale, entravano negli uffici e installavano dispositivi di raccolta dati sulle postazioni interne.

Una volta dentro, il gioco era quasi finito. I dispositivi installati permettevano di intercettare traffico di rete, catturare credenziali, e soprattutto, accedere a sistemi che sarebbero stati impossibili da raggiungere dall'esterno. In pratica, l'intrusione fisica annullava tutta la sicurezza perimetrale che l'azienda aveva costruito.

Fase quattro: l'esfiltrazione e l'estorsione. Con i dati in mano, gli attacker li usavano come leva. Le vittime ricevevano richieste di riscatto che variavano da 50.000 a 500.000 dollari. In alcuni casi, minacciavano di pubblicare i dati rubati. In altri, prometevano di cancellarli in cambio del pagamento.

Il conto salato: danni che si misurano in milioni

Le conseguenze per le vittime di UNC3753 sono state devastanti, e non solo dal punto di vista economico.

Sul piano finanziario, i costi diretti hanno incluso il riscatto pagato (quando pagato), le spese legali per gestire la crisi, e gli investimenti d'emergenza per rafforzare la sicurezza. Ma il danno più grande era invisibile: la perdita di fiducia da parte dei clienti. Uno studio legale che perde dati sensibili dei propri clienti non può più garantire la riservatezza che è il fondamento del suo mestiere.

Dal punto di vista legale, molte organizzazioni si sono trovate a dover gestire violazioni di dati con conseguenze regolamentari. Il GDPR in Europa, le normative statali americane sulla notifica delle violazioni: in entrambi i casi, la legge richiede trasparenza, e questa trasparenza ha un costo reputazionale enorme.

Ma il danno forse più grave è stato quello della fiducia interna. Dopo un attacco del genere, i dipendenti non sanno più a chi credere. Ogni chiamata diventa sospetta. Ogni tecnico che entra in ufficio potrebbe essere un impostore. La cultura aziendale ne risente profondamente.

Lezioni apprese: come difendersi quando il nemico bussa alla porta (e al telefono)

La domanda che ogni manager si sta facendo ora è semplice: come si difende da un attacco del genere?

La risposta non è semplice, perché UNC3753 ha sfruttato una verità scomoda: la sicurezza informatica tradizionale si concentra sul digitale, ma gli attaccanti hanno capito che l'anello debole è spesso l'umano. E l'umano non vive solo dietro uno schermo.

La prima lezione è che serve una verifica rigorosa di qualsiasi richiesta di accesso, anche quelle che sembrano legittime. Non basta un nome o un numero di telefono. Serve una procedura di verifica indipendente, qualcosa che non possa essere ingannato da una voce convincente.

La seconda lezione riguarda il controllo degli accessi fisici. Gli uffici non sono fortezze, ma spesso contengono i tesori più preziosi dell'azienda. Badge, videosorveglianza, controllo delle visite: ogni elemento fisico della sicurezza deve essere trattato con la stessa serietà di un firewall.

Terzo punto: la formazione non basta, ma è comunque necessaria. I dipendenti devono sapere che il vishing esiste, che qualcuno potrebbe chiamare fingendosi un collega. Devono avere un numero da chiamare per verificare, e devono sapere che non verranno rimproverati per aver sollevato un falso allarme.

Su questo tipo di attacchi ibridi, che combinano tecnologia e ingegneria sociale, servono soluzioni che vadano oltre il filtro email tradizionale. MailSniper, ad esempio, offre protezione avanzata che include sandboxing degli allegati e analisi in tempo reale degli URL, bloccando minacce che arrivano anche attraverso canali non email. Ma nessuna tecnologia sostituisce il buon senso e le procedure giuste.

Il futuro è ibrido, e il pericolo pure

Quello che UNC3753 ha dimostrato è qualcosa di importante: gli attaccanti non seguono le regole della sicurezza informatica. Usano tutto ciò che funziona, e se il vishing e le intrusioni fisiche funzionano, le useranno.

Per le aziende, questo significa che la difesa deve essere olistica. Non puoi più permetterti di pensare alla sicurezza come a qualcosa che riguarda solo i computer. Ogni porta, ogni telefono, ogni visitatore è un potenziale vettore di attacco.

La domanda che dovresti porti oggi è semplice: se qualcuno bussasse alla porta del tuo ufficio dicendo di essere dell'IT, cosa farebbero i tuoi dipendenti? Avrebbero il protocollo giusto? O darebbero fiducia, come ha fatto Maria, alla voce dall'altro capo del telefono?

La risposta potrebbe valere più di quanto pensi.