Lunedi 06 Luglio 2026 01:02:47 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Security Awareness & Social Engineering

Il colpo fantasma alle buste paga: come i cybercriminali hanno saccheggiato gli stipendi canadesi

Pubblicato: 10 Aprile 2026 15:13Categoria: Security Awareness & Social EngineeringArea: North AmericaAutore: LOGICFALCON

Sottotitolo: Hacker sofisticati hanno aggirato la sicurezza per dirottare i salari in un’ondata di attacchi “pirata” alle buste paga, mettendo a nudo criticità nelle difese sul posto di lavoro.

È iniziato come un rivolo di stipendi mancanti. Poi sono arrivate le chiamate frenetiche alle Risorse Umane, la confusione tra i dipendenti e la gelida consapevolezza: qualcuno-da qualche parte-stava reindirizzando i salari guadagnati con fatica dai lavoratori canadesi nelle mani della criminalità. I responsabili? Un oscuro gruppo di cybercrime noto come Storm-2755, armato di tattiche di phishing all’avanguardia e di un occhio attento alle vulnerabilità dei sistemi paghe.

L’attacco si è sviluppato con notevole astuzia. Storm-2755 ha attirato le vittime su siti malevoli camuffati da pagine di login di Microsoft 365. Manipolando i risultati di ricerca e ricorrendo al malvertising, questi siti fasulli apparivano affidabili, inducendo i dipendenti a inserire le proprie credenziali. Ma non si trattava di semplice phishing. Gli hacker intercettavano l’intero processo di autenticazione in tempo reale, catturando non solo le password, ma anche i token di sessione e i cookie che dimostrano l’identità di un utente ai servizi cloud di Microsoft.

Con queste chiavi digitali in mano, Storm-2755 ha eluso l’autenticazione a più fattori-misure di sicurezza che di norma richiedono un codice inviato a un telefono o a un’app. Riproducendo i token rubati, gli attaccanti hanno ottenuto accesso non rilevato alle caselle di posta delle vittime e agli strumenti HR. Hanno impostato regole di posta in arrivo furtive per nascondere qualsiasi email che menzionasse “accredito diretto” o “banca”, assicurandosi che i dipendenti restassero all’oscuro mentre i loro dati di payroll venivano silenziosamente dirottati.

La fase successiva è stata puro social engineering. I criminali si sono spacciati per dipendenti, inviando email alle Risorse Umane con richieste urgenti di aggiornare i dati bancari. Se il personale HR non cadeva nel tranello, Storm-2755 utilizzava le sessioni rubate per accedere direttamente a sistemi paghe come Workday, modificando manualmente le informazioni di accredito e deviando gli stipendi verso conti sotto il loro controllo.

Microsoft, che ha scoperto la campagna, avverte che questi attacchi “pirata” alle buste paga sono una variante in crescita delle truffe di business email compromise (BEC). Sono attacchi redditizi: solo l’anno scorso, le frodi BEC hanno rappresentato oltre 3 miliardi di dollari di perdite segnalate, seconde solo alle truffe sugli investimenti. All’inizio di quest’anno, un gruppo correlato, Storm-2657, ha preso di mira dipendenti universitari negli Stati Uniti con tattiche simili.

Gli esperti affermano che la migliore difesa parte dal blocco dei metodi di autenticazione obsoleti e dall’implementazione di MFA resistente al phishing, come le chiavi di sicurezza hardware. Se si sospetta una compromissione, un’azione immediata-revoca dei token, eliminazione delle regole di posta in arrivo malevole e reimpostazione delle credenziali-è cruciale per contenere i danni.

Con le aziende sempre più dipendenti dai servizi cloud e dalle buste paga digitali, la posta in gioco non è mai stata così alta. La campagna di Storm-2755 è un campanello d’allarme: nella battaglia per i nostri stipendi, vigilanza e difese moderne non sono più opzionali-sono essenziali.

WIKICROOK

  • Avversario: Un avversario è qualsiasi persona o gruppo che tenta di violare sistemi informatici o dati, spesso per scopi malevoli come furto o sabotaggio.
  • Token di sessione: Un token di sessione è un codice digitale univoco che mantiene gli utenti connessi a siti web o app. Se rubato, gli attaccanti possono accedere agli account senza password.
  • Business Email Compromise (BEC): Il Business Email Compromise (BEC) è una truffa in cui i criminali violano o impersonano email aziendali per indurre le aziende a inviare denaro a conti fraudolenti.
  • Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
  • Malvertising: Il malvertising è l’uso di annunci online per diffondere malware, spesso inducendo gli utenti a cliccare su link dannosi-anche su siti web considerati affidabili.