Spam. Per il nostro cliente, un piccolo ma crescente rivenditore online specializzato in decorazioni artigianali per la casa e regali personalizzati, questa parola di quattro lettere minacciava l'intero marchio. L'azienda era orgogliosa della sua base di clienti fedeli e del suo approccio personalizzato a ogni cliente.
A un certo punto, il negozio online ha iniziato a ricevere le lamentele dei clienti per aver ricevuto e-mail e telefonate di spam. Lo spam faceva spesso riferimento ai loro acquisti passati presso il rivenditore. Comprensibilmente, i clienti erano arrabbiati e preoccupati per la fuga dei loro dati di contatto.
The company initially suspected a general data breach or server vulnerability; however, nothing suspicious was found during extended security checks. The CEO's next guess was an insider threat since the data leak seemed targeted and specific to customer information. Someone within a company with access to the customer database could be responsible for the incident.
La soluzione
Facing a potential PR crisis and loss of customer trust, the CEO decided to use employee monitoring software to track employees' work activity. After researching solutions focused on user activity monitoring and data protection, she chose CleverControl for its extensive monitoring capabilities that could help in insider threat detection.
Le principali funzioni di CleverControl utilizzate dall'azienda comprendono:
- Visualizzazione in diretta: an opportunity to view employees' screens in real time could help catch the culprit red-handed.
- Registrazioni su schermo: these recordings allowed a quick review of each employee's workday, which could reveal suspicious activity.
- Screenshot: since the software takes screenshots when the user switches windows, visits a website, or copies something to the clipboard, it was highly probable that the moment of data theft would be captured. Besides, screenshots offered a quicker overview of the employee's day than screen recordings.
- Monitoraggio delle applicazioni e dei siti web: tracking these could help understand employees' workflow and reveal if someone was using unauthorized file-sharing services or email clients.
- Monitoraggio dei dispositivi di archiviazione esterni: l'azienda aveva bisogno di sapere se qualcuno avesse copiato il database dei clienti su un'unità USB o un altro dispositivo di archiviazione esterno.
- Monitoraggio delle e-mail: nel caso in cui il database venisse divulgato tramite e-mail, CleverControl registrerebbe la fuga di notizie.
- Riconoscimento dei volti: questa funzione potrebbe rivelare chi ha avuto accesso ai computer dell'ufficio, in particolare quelli con accesso ai database dei clienti.
- Registrazione di video e suoni in aree specifiche dell'ufficio con notifiche appropriate: La cattura dell'audio in prossimità delle postazioni di lavoro potrebbe rivelare comunicazioni verbali relative a fughe di dati o discussioni non autorizzate.
L'indagine
The CEO, working with the IT manager, implemented CleverControl on 17 office computers. They checked the employees' activity daily, looking for a potential data leak.
In a few weeks, they noticed a log of unusual activity on a customer service representative's computer. It was active long past his usual working hours. The CEO and the IT manager focused their investigation on this activity within CleverControl, and here is what they found:
- The external storage tracking log recorded the connection of a USB drive to the representative's workstation.
- Gli screenshot e le registrazioni dello schermo hanno mostrato che l'utente ha esportato un file CSV di grandi dimensioni dalla cartella del database dei clienti al suo desktop. Poco dopo ha copiato il file su un'unità USB.
Quando il giorno dopo l'amministratore delegato ha affrontato il rappresentante del servizio clienti in merito a quell'attività sospetta, questi ha negato tutte le accuse. Il dipendente ha insistito sul fatto che al momento dell'incidente si trovava in un bar con alcuni colleghi, i quali hanno confermato le sue parole.
Fearing that the problem might be worse than expected, the CEO checked CleverControl's face recognition logs. Luckily, the representative's computer had a webcam, and the feature was enabled on it. CleverControl showed a facial recognition match for a marketing assistant who worked in a different department and had no legitimate reason to use the representative's workstation. The match and the video captured from the webcam confirmed that the assistant was using the computer at the time of the incident. Further investigation of activity from the assistant's computer showed that she had been browsing job posting websites during work hours in the days leading up to the file export. She seemed to look at roles in competing online retail businesses specifically.
La risoluzione
I dati raccolti da CleverControl hanno rilevato una minaccia interna. L'assistente marketing era responsabile del furto del database dei clienti. L'esportazione di file, il trasferimento USB, l'attività fuori orario e la ricerca di lavoro hanno fatto pensare a un tentativo deliberato di furto di dati.
Quando le sono stati presentati i registri dettagliati delle attività dei file e le registrazioni delle connessioni USB, l'assistente marketing ha confessato di aver scaricato e copiato il database dei clienti. Sapeva che l'addetto al servizio clienti dimenticava spesso di bloccare il computer e ha colto l'occasione per rubare dati sensibili. L'assistente l'aveva fatto qualche mese fa e intendeva vendere un database aggiornato a un concorrente per arrotondare le sue entrate mentre era alla ricerca di un nuovo lavoro.
The marketing assistant's contract was terminated immediately, and the company started exploring options for legal action against her. The company also notified affected customers about a potential data leak and explained what they had done to secure data and prevent future incidents. They also offered complimentary bonuses for affected customers as a goodwill gesture.
Il CEO ha inoltre implementato controlli più severi sull'accesso al database dei clienti, l'autenticazione a più fattori e una maggiore formazione dei dipendenti sulla sicurezza dei dati e sulle responsabilità etiche.
Conclusione
In questo caso CleverControl ha svolto un ruolo fondamentale nel rilevamento delle minacce interne. Ha fornito le prove necessarie per identificare rapidamente il ladro di dati e per intervenire rapidamente per mitigare i danni e prevenire incidenti futuri. Inoltre, questo caso sottolinea che affidarsi esclusivamente ai registri dei file o al tracciamento delle attività potrebbe essere fuorviante. Il riconoscimento facciale è servito come ulteriore livello di riconoscimento e ha aiutato a identificare l'utente effettivo che ha commesso il furto. CleverControl si è rivelato prezioso non solo per il monitoraggio della sicurezza, ma anche per garantire l'equità e l'accuratezza delle indagini interne.




