Lo Studio sta procedendo nella gestione delle conseguenze dell’attacco informatico comunicato su questo sito nei giorni scorsi.
La reazione dello Studio ha fortemente limitato l’accesso ai dati da parte dei criminali e bloccato l’attacco prima che potesse andare integralmente a compimento.
Anche con il coinvolgimento della Polizia Postale e della Procura della Repubblica, il server estero sul quale i criminali informatici avevano trasferito la parte di dati copiati illecitamente dal nostro sistema è stato bloccato e il suo contenuto sarà reso disponibile ad una verifica che ci permetterà di individuare puntualmente i dati coinvolti.
Nel frattempo, sulla base di elementi emersi durante questo primo periodo di analisi, lo Studio sta procedendo a comunicazioni mirate a Clienti dei quali alcuni dati personali sono stati verosimilmente coinvolti.
In quest’ottica riportiamo a beneficio di tutti il testo della comunicazione mirata:
Oggetto: Comunicazione importante riguardante gli effetti di un attacco informatico perpetrato ai danni dello Studio
Desideriamo informarLa di un incidente informatico che ha coinvolto i sistemi del nostro Studio e che potrebbe riguardare i Suoi dati personali.
COSA È SUCCESSO?
Recentemente, il nostro Studio ha subito un attacco informatico da parte di un gruppo criminale internazionale (CyberGang), che ha ottenuto accesso non autorizzato ad una parte della nostra infrastruttura.
L’intervento rapido del team di contrasto all’attacco ha fortemente limitato l’accesso ai dati da parte dei criminali e bloccato l’attacco prima che potesse andare integralmente a compimento, tuttavia i criminali sono riusciti a copiare illecitamente alcuni dati presenti nel nostro sistema, ora potenzialmente in loro possesso.
QUALI SONO LE POSSIBILI CONSEGUENZE?
Sebbene stiamo ancora conducendo verifiche dettagliate per determinare quali siano esattamente i dati coinvolti, Le segnaliamo qui di seguito alcune attività malevole che potrebbero verificarsi a seguito della violazione.
Naturalmente la probabilità varia a seconda dei dati effettivamente in possesso dei criminali, dalla effettiva pubblicazione illecita e dalla disponibilità di questi dati in mano ad un malintenzionato motivato o interessato ad utilizzarli illecitamente.
- Attacchi di ingegneria sociale: Usando informazioni dettagliate, come questioni legali o dati personali, i malintenzionati possono manipolare le vittime o altre persone collegate (colleghi, familiari) per ottenere informazioni aggiuntive o indurle a compiere azioni a loro danno.
- Frode finanziaria: Con dati come le fatture o le e-mail aziendali, i criminali possono inviare richieste di pagamento fasulle a nome di un fornitore o modificare le coordinate bancarie delle transazioni reali.
- Frode d’identità: Gli hacker possono utilizzare i dati per mistificare la propria identità di una persona.
Alcuni esempi possono essere: tentare apertura di conti bancari, richieste di prestiti o altre operazioni finanziarie a nome della vittima. - Phishing e Smishing (e-mail e SMS falsi e malevoli): Gli aggressori possono inviare e-mail o messaggi SMS ingannevoli per cercare di ottenere altre informazioni sensibili o convincere la vittima a compiere azioni dannose, come cliccare su link malevoli o scaricare software infetto.
N.B. se Le dovessero arrivare richieste di pagamento dal nostro Studio vi invitiamo a verificare telefonicamente con la nostra amministrazione al numero di telefono ufficiale indicato sul sito e/o con il professionista di riferimento e non quello eventualmente indicato nell’email che fa la richiesta.
- Account Takeover (Acquisizione degli Account): Con e-mail e documenti personali, i criminali possono provare a violare gli account online della vittima, come ad esempio social network o e-mail, compromettendo la sicurezza.
- Diffusione di disinformazione o danni reputazionali: Le informazioni compromesse possono essere manipolate o diffuse in modo distorto per danneggiare la reputazione di persone o aziende.
- Ricatti o Estorsioni: Gli aggressori potrebbero minacciare di divulgare in certi contesti le informazioni a meno che non venga pagato un riscatto.
- Truffe legate a fornitori e contratti: Informazioni su relazioni contrattuali possono essere sfruttate per falsificare richieste o accordi, tentando truffe ad aziende o persone coinvolte nei rapporti commerciali.
QUALI AZIONI INTRAPRESE E QUALI RACCOMANDAZIONI PER ATTENUARE I POSSIBILI EFFETTI NEGATIVI?
Come detto, lo Studio ha intercettato e reagito all’attacco prima che potesse concludersi contenendo il numero di dati a cui i criminali hanno avuto accesso e ha, inoltre, approntato azioni atte a riprendere immediatamente il pieno controllo sull’infrastruttura e dei propri sistemi.
È stata depositata denuncia alla Polizia Postale ed è stata effettuata una notifica al Garante per la Protezione dei Dati personali.
Tuttavia, è fondamentale che Lei presti attenzione a eventuali anomalie, come comunicazioni sospette o attività insolite. Restando vigile, potrà contribuire a prevenire eventuali abusi o attività fraudolente.
Infatti, in casi di violazione di dati come questo, la principale difesa è che gli Interessati coinvolti siano informati dell’accaduto per poter innalzare il proprio livello di guardia e prestare attenzione ad anomalie che possono essere riconducibili agli scenari indicati sopra.
Questo permette di aumentare la probabilità di sventare la minaccia prima che si concretizzi.
A CHI POSSO CHIEDERE ULTERIORI INFORMAZIONI SULL’ACCADUTO?
Il Suo referente abituale e comunque lo Studio sono disponibili per fornire ulteriori chiarimenti.
Stiamo eseguendo un’analisi dettagliata Cliente per Cliente per identificare i dati specifici coinvolti, e – considerando che l’indagine richiede tempo – sarà nostra premura comunicarLe eventuali ulteriori informazioni utili appena disponibili.
Inoltre, aggiorneremo regolarmente il nostro sito internet con le ultime notizie riguardanti l’accaduto.
Restiamo a disposizione per ogni eventuale chiarimento o supporto necessario in questo contesto particolarmente delicato.
Cordiali saluti.