L'esperienza di Walter Williams, CISO e consulente di sicurezza informatica statunitense, dimostra come anche i professionisti più esperti del settore cybersecurity possano trovarsi nel mirino di sofisticati schemi fraudolenti. La sua vicenda, durata oltre tre mesi tra maggio e settembre 2024, illustra l'evoluzione delle truffe online che ora prendono di mira specificamente i ruoli dirigenziali della sicurezza IT. Williams si è ritrovato al centro di un elaborato raggiro che utilizzava il pretesto di un'offerta di lavoro presso Gemini Crypto per tentare di sottrargli almeno mille dollari attraverso una truffa del tipo "pig-butchering", una forma di frode agli investimenti che sfrutta l'ingegneria sociale per costruire rapporti di fiducia prima di colpire finanziariamente le vittime.
Quando LinkedIn diventa un campo di caccia per i truffatori
Il primo contatto è avvenuto attraverso LinkedIn, dove Williams aveva effettivamente presentato una candidatura per un ruolo di direttore della sicurezza GRC presso Gemini Crypto nel gennaio precedente. "Mi hanno contattato inizialmente su LinkedIn, ma non da un account Gemini", ha spiegato Williams. "Immagino che mi abbiano trovato attraverso una ricerca sulla piattaforma e abbiano pensato che sarei stato un buon bersaglio dato che risultavo aperto a nuove opportunità lavorative".
La plausibilità dell'approccio iniziale ha convinto Williams a dedicare del tempo alla conversazione, nonostante alcuni segnali d'allarme. Un presunto rappresentante delle risorse umane del "Gemini Group" lo aveva contattato per una generica posizione dirigenziale, ricevendo una risposta grammaticalmente scorretta dopo aver manifestato interesse e fornito i suoi contatti.
L'inganno si fa più elaborato con deepfake e documenti falsificati
Successivamente, Williams ha ricevuto un SMS da Li Jiaxin, presunta responsabile della filiale di Los Angeles di Gemini e membro del consiglio di amministrazione, che faceva riferimento a una candidatura per un ruolo da CISO. Una rapida verifica ha rivelato che Gemini Crypto non dispone né di un ufficio a Los Angeles né di un membro del consiglio con quel nome, ma Williams ha deciso di continuare per scoprire dove avrebbe portato questa comunicazione.
La fase successiva ha incluso tre mesi di messaggi costanti, passando dagli SMS alle conversazioni su WhatsApp, culminando in un'intervista video probabilmente realizzata con tecnologia deepfake. "L'intervista è stata davvero strana", ha raccontato Williams. "L'intervistatrice mi ha fatto domande sulla mia carriera e sulle speranze di relazioni con CEO, CFO e CIO, ma non c'erano domande tecniche".
Il tranello finale: formazione obbligatoria in criptovalute
Dopo aver superato con successo l'intervista, Williams si è visto offrire il ruolo con un generoso pacchetto salariale. Tuttavia, prima di assumere la posizione, doveva completare una formazione obbligatoria sui derivati delle criptovalute. Gli è stato richiesto di acquistare mille dollari in criptovalute attraverso Coinbase utilizzando i propri fondi per svolgere questo "addestramento".
Williams ha rifiutato e quando ha suggerito che i fondi potessero essere prelevati da un anticipo sul primo mese di stipendio, il dialogo si è concluso bruscamente. "Non ho idea di quanto sia esteso questo fenomeno, ma i criminali erano piuttosto ben preparati per prendere di mira un CISO, quindi avevano fatto le loro ricerche", ha commentato Williams, che ha documentato l'intero scambio in un post su LinkedIn.
Anatomia del "pig-butchering": un fenomeno in crescita
Ashley Jess, analista senior di Intel 471, ha spiegato che il meccanismo della frode documentato da Williams è tipico delle truffe pig-butchering. "Gli attori malevoli spesso iniziano il contatto su piattaforme legittime e affidabili come LinkedIn perché questi canali abbassano la guardia delle vittime", ha precisato Jess. "Una volta stabilito il rapporto, la conversazione viene spostata su canali privati come WhatsApp o Telegram".
Il "pig butchering" è una frode deliberata a lungo termine che si basa sulla costruzione di relazioni nel tempo piuttosto che su un singolo trucco astuto. Chainalysis ha riportato frodi crypto pari a circa 12,4 miliardi di dollari nel 2024, con gli investimenti ad alto rendimento e le truffe "pig-butchering" che rappresentano una quota significativa di questa cifra.
Minacce sempre più sofisticate nel mirino dei professionisti IT
In alcuni casi, i falsi reclutatori hanno dato una svolta malefica alla truffa inviando ai candidati "compiti di prova" infetti da malware che possono compromettere i loro dispositivi e rubare dati sensibili. L'unità di intelligence Unit 42 di Palo Alto Networks ha recentemente scoperto un gruppo di minacce nordcoreano noto come Slow Pisces che gestisce una campagna mirata impersonando reclutatori LinkedIn.
L'esperienza di Williams dimostra che i CISO non sono esenti da attacchi di ingegneria sociale e phishing. I truffatori sono abili nel costruire narrazioni di reclutamento convincenti che rispecchiano i veri processi di assunzione, spesso facendo riferimento a candidature genuine e dettagli aziendali per costruire credibilità. Come consiglia Jess di Intel 471: "Verificate sempre i reclutatori non sollecitati e le offerte di lavoro attraverso i canali HR dell'azienda, evitate di spostare le conversazioni su app private sconosciute e non inviate mai denaro a qualcuno che non avete verificato indipendentemente".
