La foto che appare quando si disabilita la fotocamera di Zoom, o le foto della propria postazione di lavoro da casa condivise su Instagram, possono sembrare innocue e divertenti. Tuttavia, gli hacker possono utilizzare le informazioni personali raccolte dalle immagini per creare truffe mirate, mettendo a rischio i dati personali e aziendali.

Jason Nurse, professore di sicurezza informatica presso l'Università del Kent, ha avvertito che le foto personali e le informazioni condivise sui social dai lavoratori in smart working, possono esporre non solo il dipendente, ma anche le reti aziendali alle minacce di hacker esperti che cercano di sfruttare i dati personali condivisi per creare attacchi personalizzati. 

Con l’aumento dello smart working a causa della pandemia di COVID-19, i lavoratori hanno cominciato a condividere foto e altre informazioni personali online e non sono consapevoli di come questi dati possono essere sfruttati da attaccanti esterni.  

Inoltre, il cambio drastico della routine quotidiana a causa della pandemia, ha fatto abbassare la guardia ai lavoratori da remoto che non sono pronti ad affrontare le minacce del cybercrimine. 

"Anche se la condivisione di queste foto può sembrare innocua e addirittura alla moda, stiamo, ancora una volta, incappando nella classica trappola del condividere troppo” ha scritto nel post Jason Nurse. "Ci stiamo dimenticando di chiederci: cosa potrebbe fare un criminale o un truffatore con queste informazioni?"

La risposta è “Molte cose”, suppone Nurse. Questo perché “più cose sa un hacker di una persona, più quell’uomo, quella donna o la compagnia per cui lavora, sono vulnerabili agli attacchi informatici” ha detto.

Come vengono utilizzate le foto della propria postazione di lavoro da casa dagli hacker

Nurse ha ipotizzato diversi modi in cui i cybercriminali possono sfruttare le informazioni dalle foto che i lavoratori da remoto postano online – spesso anche taggate con hashtag facili da rintracciare, come #Workfromhome e #Homeoffice.

Uno dei metodi è quello di rendere i lavoratori stessi gli obiettivi delle truffe personalizzate utilizzando il loro nome o i dati raccolti dalle informazioni condivise online. Per esempio, l’immagine di un pacchetto regalo dalla propria azienda che mostra l’indirizzo di casa o rivela una data di nascita, potrebbe essere utilizzata per uno spear phishing.

"Supponiamo che ci arrivi via e-mail una gift card il giorno del nostro compleanno, da un amico che non vediamo da molto tempo e che vuole riallacciare i rapporti” ha detto Nurse. “Molte persone aprirebbero l’allegato della gift-card perché la data è corretta e non sanno che si tratta in realtà di un malware o di un ransomware, e che l’hacker conosce la data di compleanno perché l’hanno postata loro stessi online mesi prima” 

Tra l’altro, i cybercriminali utilizzano le informazioni personali ottenute dalle attività online e dalle foto, per cercare di carpire le password ed entrare negli account, aumentando le probabilità di furti d’identità, ma anche di potenziali conseguenze finanziarie.

Nurse ha detto che è gli hacker possono utilizzare per i loro scopi malevoli tantissimi sfondi di videochiamate e foto. Per esempio, le persone spesso condividono immagini delle loro postazioni di lavoro che sembrano innocue - ma magari c’è un animale domestico accanto al loro computer, oppure un bambino che è in didattica a distanza. Questi sono veri e proprio tesori per un hacker, che può così carpire le password.

“Le foto e i video pubblicati dai lavoratori da remoto possono anche mostrare dati aziendali e di conseguenza le reti a cui sono collegati” ha aggiunto.

"L'analizzando molte delle immagini degli ambienti domestici di smart working, si vedono: le e-mail di lavoro, le e-mail interne, i nomi dei mittenti, pagine web private, la corrispondenza aziendale potenzialmente sensibile, i software installati sul computer e numeri di identificazione dei dispositivi," ha detto.

Un cybercriminale può utilizzare queste informazioni per creare un’e-mail che all’apparenza sembra quella di un fornitore o un contatto commerciale noto, fare in modo che le vittime scarichino malware e conseguentemente generare un effetto a catene sulla rete aziendale. 

Oppure, un hacker potrebbe impersonare qualcuno del reparto informatico di una società e chiedere ai dipendenti di avviare quello che sembra un normale aggiornamento di sistema ma che invece ha tutt’altro scopo. 

In generale, gli sfondi e le foto del lavoro da casa sono solo una piccola parte del fenomeno ben documentato di come le aziende stanno facendo fatica nel gestire una forza lavoro quasi interamente in smart-working durante la pandemia, con conseguenze gravi sulla sicurezza informatica. 

Come proteggere la propria postazione di lavoro da casa

La buona notizia è che è facile evitare di cadere nella trappola della condivisione online e dell’esposizione alle minacce quando si lavora a distanza, seguendo alcuni semplici consigli.

Coloro che lavorano da remoto devono sempre stare attenti a quello che c’è nello sfondo di foto e videoconferenze o prendere in considerazione l’utilizzo di uno sfondo virtuale durante le chiamate su zoom e skype.  Si potrebbe anche sfocare lo sfondo durante le videoconferenze, in modo che eventuali hacker non possano carpire nulla.  

Si sa che le persone che lavorano da casa e si sentono relativamente sole, sono tentate di condividere le loro postazioni di lavoro da remoto sui vari social network utilizzando hashtag divertenti e spiritosi, ma è sconsigliabile farlo: meglio non fornire dati personali che potrebbero essere utilizzati contro di noi. 

Tweet