Viene genericamente definita come la “truffa del CEO“, ma per gli esperti di Cyber Security questa frode informatica ha un nome più altisonante: Business Email Compromise (BEC). Comunque la vogliate chiamare questa frode combina una serie di tecniche di attacco per ottenere un risultato “devastante” sul piano del business: la sottrazione di grosse cifre alle organizzazioni aziendali.
Il target di questi attacchi sono dipendenti e manager che all’interno di un’azienda sono in grado di muovere denaro, soprattutto di fare bonifici online. A loro viene inviata una mail che proviene apparentemente da una figura apicale dell’azienda, che chiede espressamente di effettuare un bonifico urgente verso un conto corrente, che solo dopo si scoprirà appartenere ad un’organizzazione criminale.
Messo sotto pressione dal top manager rispetto a un criterio di urgenza del pagamento, e senza sospettare nulla, l’ignaro dipendente eseguirà quanto richiesto, generando un danno concreto per le finanze della sua organizzazione.
Questo tipo di attacco è salito agli onori della cronaca anche in Italia, a partire dal 2016, ma il fenomeno sembra inarrestabile, favorito dallo sviluppo delle attività di “ingegneria sociale” (social engineering) con cui i criminali si impossessano di informazioni relative all’azienda target.
Cerchiamo di capire come funziona esattamente il processo:
- il criminale si impossessa dell’account di posta di un top-manager dell’azienda, tipicamente l’amministratore delegato della stessa (il CEO secondo lo standard internazionale);
- usando l’account di posta dell’AD, il criminale invia una mail a una figura manageriale o a un dipendente amministrativo che si occupa di pagamenti, sollecitando l’emissione di un bonifico;
- la mail adduce criteri di urgenza e soprattutto una difficoltà contingente dell’AD di comunicare verbalmente.
E’ chiaro che l’efficacia di questa truffa è condizionata dalla conoscenza dell’organizzazione interna dell’azienda, una conoscenza che i criminali acquisiscono appunto con tecniche di “ingegneria sociale”. La conoscenza dell’organizzazione serve sia per indirizzare la giusta persona, quella che ha maggiori probabilità di cadere nel tranello, sia per aumentare la credibilità del messaggio inviato dal finto top-manager.
Ci sono diverse versioni di questa frode informatica: in alcuni casi i criminali usano l’identità di un fornitore abituale dell’azienda e inviano richieste di pagamento, utilizzando false fatture su capitoli di spesa ricorrenti.
Secondo una stima effettuata dall’FBI, le aziende che hanno subito questo tipo di attacco sono almeno 40.000 distribuite in tutto il mondo, Italia compresa, per un danno complessivo tra il 2013 e il 2016 di 5 bilioni di dollari. Il trend è destinato a crescere e si prevede il raggiungimento della quota danni di 9 bilioni di dollari, già alla fine del 2018.
Queste frodi sono difficilissime da intercettare con un approccio “tecnologico” e l’unica vera arma difesa in questo ambito è il fattore umano (il cosiddetto “human firewall”), oltre ad eventuali procedure aziendali che dovrebbero migliorare il processo autorizzativo necessario per effettuare pagamenti.
In ogni caso, una maggiore consapevolezza del rischio cyber (cyber security awareness) può indurre le potenziali vittime ad agire con maggiore cautela a fronte di una richiesta di questo tipo e ad attivare verifiche ulteriori prima di procedere al pagamento. Bisogna ricordare che uno dei primi sintomi di un attacco Phishing è proprio una richiesta di denaro fatta esclusivamente via mail e con un criterio di urgenza che mette sotto pressione il destinatario: questa sintomatologia vale anche quando la richiesta sembra provenire dall’interno dell’azienda.
