La SIAE ha subito un attacco hacker che, con la giusta formazione ai dipendenti, si sarebbe potuta evitare. Ora a pagarne le conseguenze non è solo la società, ma gli artisti di cui SIAE tratta i dati.
Attacco hacker alla SIAE: cos’è successo
SIAE è la sigla di “Società Italiana degli Autori e degli Editori”, un ente a cui autori e editori si associano per gestire e ottenere con più facilità i compensi legati alla pubblicazione e diffusione delle loro opere.
Il 20 ottobre 2021, SIAE si è trovata coinvolta in un attacco ransomware, innescato da un precedente attacco di phishing.
Nello specifico, il gruppo di cybercriminali che ha rivendicato l’attacco ha intimato alla società di pagare un riscatto di tre milioni di euro in bitcoin, pena la pubblicazione dell’intero database sul dark web. Un database che, come dichiarato dai criminali, raccoglie oltre 60 gigabyte di dati.
SIAE dichiara di aver rifiutato di pagare il riscatto (rifiuto obbligatorio per legge) e di aver prontamente segnalato il data breach al Garante della Privacy e alla polizia postale.
Quali dati sono stati trafugati nell’attacco hacker alla SIAE
Per dar prova della tipologia di dati trafugati, i cybercriminali hanno pubblicato una piccola parte del database nel dark web. Nello specifico, circa 1,95 gigabyte di dati relativi agli artisti iscritti alla SIAE comprendenti:
- Dichiarazioni di paternità delle opere
- Documenti riservati
- Carte d’identità
- Codici fiscali
- Dati di contatto
- Informazioni bancarie
Ripercussioni per gli artisti iscritti alla SIAE: il ricatto
A seguito del rifiuto della società di pagare il riscatto, i cybercriminali autori dell’attacco hacker hanno provveduto a contattare tramite SMS alcuni degli associati SIAE. L’obiettivo: ricattare direttamente gli artisti per non pubblicare i dati che li riguardano.
“Benvenuto nel Darkweb” recita il messaggio arrivato direttamente ai numeri di contatto degli artisti (compresi nei dati trafugati). “Abbiamo tutte le tue informazioni – numero di telefono, indirizzo, IBAN. Se non vuoi che vengano rese pubbliche paga tramite BTC (sigla di bitcoin) al seguente indirizzo 10.000 euro e non oltre il giorno 22”.
Nel caso venissero pubblicati, o venduti, vi è un enorme rischio che tali dati siano utilizzati da malintenzionati con finalità fraudolente, tra cui il furto d’identità. Con la tipologia di dati in suo possesso infatti, un cybercriminale potrebbe riuscire benissimo a far credere al proprio interlocutore di essere l’artista in questione, approfittando della situazione per estorcere denaro ad altre persone.
Perché una corretta formazione ai dipendenti avrebbe potuto evitare l’attacco?
Perché tutto è partito da un attacco di phishing.
Com’è noto, un attacco di phishing è un tipo di truffa che consiste nell’invio di una comunicazione, spesso via e-mail, in cui un cybercriminale cerca di ingannare la vittima, fingendo di essere un ente autorevole (es. qualcuno all’interno della propria organizzazione, una banca ecc.) per portare la vittima a condividere informazioni personali, dati finanziari o codici di accesso.
Questo significa che l’attacco ransomware alla SIAE, innescato da un precedente attacco di phishing, avrebbe potuto essere evitato con la giusta formazione del personale in tema di information security.
User Awareness Program: la formazione specifica con simulazioni di attacchi phishing
Axsym, per permettere alle organizzazioni di difendersi da queste tipologie di attacchi sempre più frequenti (l’Italia è il 5° paese per attacchi di phishing), ha sviluppato un programma specifico: “User Awareness Program”.
User Awareness Program è un percorso di formazione volto a permettere ai dipendenti e collaboratori della tua azienda di imparare a difendere efficacemente loro stessi e la tua azienda dalla cyber-criminalità.
Un programma volto alla sensibilizzazione e alla formazione del personale tramite:
- Attività di comunicazione e formazione interattiva
- Test di valutazione
- Simulazioni di attacchi di phishing
Il percorso viene progettato specificamente dagli specialisti Axsym in base alle necessità della singola azienda con l’obiettivo di garantire all’azienda il programma di formazione più efficace e coinvolgente possibile.
Anche tu vuoi aumentare il livello di protezione della tua azienda attraverso un programma di formazione efficace?
Contattaci e ti presenteremo il nostro esclusivo User Awareness Program!
