A luglio, migliaia di americani hanno iniziato a lamentarsi dei pacchi di semi non richiesti spediti dalla Cina. E nonostante non sapessero esattamente quali fossero i semi e sospettassero che qualcosa di nefasto fosse in corso, molti destinatari li piantarono.
I parallelismi tra i semi misteriosi e gli attacchi di phishing sono inconfondibili e possono servire da ammonimento per i CISO che cercano di addestrare i dipendenti a non cadere negli stratagemmi degli hacker, in un momento particolarmente vulnerabile in cui la maggior parte lavora da casa.
"Fino a quando COVID non ha mandato tutti a casa, vedevamo quasi esattamente la stessa cosa con le chiavette USB", ha detto Joseph Neumann, direttore della sicurezza offensiva per Coalfire, che ha riferito di aver ricevuto il proprio corriere di semi al Dipartimento dell'agricoltura del Texas. "Le persone spedivano chiavette USB piene di malware alle persone al loro lavoro e le collegavano."
Per essere chiari, i semi erano probabilmente ciò che è noto come una truffa "spazzolatura": un venditore cinese su Amazon che imposta falsi ordini a indirizzi americani raschiati da Internet per dare a un negozio false recensioni a cinque stelle. Le truffe inviano articoli leggeri, in questo caso semi, perché sono economici da spedire.
Ma le persone hanno deciso di piantarli.
Se suona familiare è una versione del classico trucco USB, in cui un hacker deposita le unità USB in un parcheggio, sperando che vengano raccolte e utilizzate, quindi infetta i computer delle vittime inconsapevoli. Roger Grimes della società di formazione KnowBe4 afferma che, fino ad oggi, quel trucco produce ancora risultati "sani".
"Quando parliamo di difese, si tratta di politiche, controlli tecnici e istruzione", ha affermato Grimes. "Se qualcosa di fisico finisce nelle mani di un utente finale, ignori le norme e i controlli tecnici".
Proprio come può sembrare ovvio non piantare i semi, i lavoratori possono essere presi alla sprovvista da minacce in contesti per i quali non sono preparati, ha detto Grimes, che ha notato che una persona pronta a proteggersi da un'e-mail abbozzata potrebbe non essere così pronta per la stessa minaccia inviata tramite un'app di appuntamenti o LinkedIn.
Questo problema è amplificato dalle minacce che utilizzano la confluenza di nuovi dispositivi a cui gli utenti accedono regolarmente. Le persone in stato di allerta elevato nel loro ufficio spesso non mostrano lo stesso stato di allerta sul telefono o sui dispositivi domestici, ha affermato Hank Schless, senior manager per le soluzioni di sicurezza presso Mobile Defender Lookout.
I team di sicurezza devono espandere l'ambito della formazione oltre i dispositivi e le applicazioni direttamente associati ai sistemi aziendali, che in genere non sono di loro competenza.
Come afferma Neuman: “Formiamo le persone a controllare il phishing sul posto di lavoro. Nessuno ti insegna a cercare i semi. "
Il post Threat gardening: Whats CISOs can learn from "mystery seeds" è apparso per la prima volta su SC Media .