Incident Response
5 segnali che la tua azienda potrebbe essere già stata compromessa
PubblicatoLettura5 min
Quando si parla di attacchi informatici, l'immagine mentale è quasi sempre quella di un blocco improvviso: schermo nero, richiesta di riscatto, panico. La realtà è quasi sempre l'opposto. Secondo l'IBM Cost of a Data Breach Report 2024, il tempo medio per accorgersi di una compromissione è di 194 giorni. Più di sei mesi durante i quali i criminali raccolgono informazioni, mappano la rete, identificano i dati più preziosi.
Le PMI, in particolare, hanno spesso meno strumenti per accorgersene. Ma alcuni segnali, se sai dove guardarli, sono difficili da nascondere.
1. Email che partono dal tuo dominio senza che tu lo sappia
Se ricevi notifiche di delivery failure per email che non hai mai scritto, o se clienti e fornitori ti dicono di aver ricevuto messaggi strani che sembrano venire da te, è un segnale concreto che il tuo account email è stato compromesso, o che il tuo dominio è usato per phishing.
2. Account amministratore creati senza autorizzazione
Una delle prime mosse di un attaccante esperto è creare un proprio account con privilegi elevati, in modo da mantenere l'accesso anche se la password originale viene cambiata. Controllare regolarmente la lista degli utenti amministratori nel gestionale, nel CRM, nel server e nel cloud è un'abitudine che pochi seguono e che salva la vita.
3. File rinominati o spostati in modo anomalo
Alcuni ransomware moderni operano in due fasi: prima esfiltrano i dati, poi li cifrano. Nella prima fase, possono spostare cartelle, comprimere archivi grandi, accedere a file che nessun dipendente toccherebbe mai. Se vedi attività su file "fermi da anni" o spostamenti di massa, vale la pena indagare.
4. Lentezza inspiegabile su PC o server
Un PC che si rallenta improvvisamente, una connessione internet che peggiora senza motivo, server che consumano più CPU del solito di notte: possono essere sintomi di processi malevoli in esecuzione (miner di criptovalute, exfiltratori di dati, beacon di comando).
5. Login da paesi o orari inusuali
Quasi tutti i servizi cloud (Microsoft 365, Google Workspace, gestionali in SaaS) registrano la geolocalizzazione e l'orario degli accessi. Un login alle 3 di notte dalla Romania su un account italiano che opera solo in orario d'ufficio è un red flag enorme.
Cosa fare se vedi uno di questi segnali
La regola d'oro è non spegnere i sistemi. Spegnere significa perdere informazioni forensiche utili per capire cosa è successo. Quello che serve è isolare la macchina dalla rete (staccare il cavo, disattivare il WiFi) e chiamare subito chi può fare un'analisi forense seria.
Nelle prime 72 ore le decisioni che prendi determinano se il danno sarà limitato o catastrofico. Avere già un contatto pronto, non doverlo cercare nel panico, è la differenza tra contenimento e disastro.