Attacco BEC alla Zecca: sventato furto da 3 milioni di euro

Security Awareness
22 Dicembre 2023
Truffa BEC alla Zecca dello Stato

Il fattore umano al centro dell’incidente. C’è ancora molto da fare sul fronte della formazione

Alla Zecca dello Stato se la sono vista brutta a causa di un tipico attacco di Business Email Compromise (BEC).
Qualche abile truffatore è riuscito a soffiare 3 milioni di euro al luogo simbolo di produzione di moneta. Per fortuna la storia ha avuto un lieto fine e i soldi sono tornati al mittente. L’esperienza, però, non solo ha fatto passare parecchie notti insonni alle vittime cadute nel tranello ma, oltre ad aver causato un danno di immagine a una grossa azienda che lavora per lo Stato, ha evidenziato quanto il rischio di attacchi informatici sia sempre dietro l’angolo e dipenda per la gran parte delle volte da distrazione, superficialità, ingenuità, emotività, mancanza di necessari accertamenti, insomma in due parole, dal fattore umano.

La dinamica del furto

La storia è iniziata lo scorso maggio quando gli hacker si sono spacciati per un fornitore di tondini, comunicando un cambio di iban e chiedendo di effettuare i futuri pagamenti su questo anziché sul precedente. Naturalmente gli hacker si erano già da tempo infiltrati negli scambi tra la Zecca e il fornitore ed erano a conoscenza della commessa.

Così, la Zecca è caduta in pieno nella trappola effettuando un pagamento di 3 milioni di euro sul conto corrente dell’istituto di credito ungherese Mbh fornito nella mail fraudolenta. Un milione è partito per Budapest il 15 maggio, gli altri due il 26.

Lo stesso giorno alla Zecca si sono resi conto di essere stati truffati e non è stato un bel risveglio.

Appena scattato l’allarme l’intervento della polizia postale è stato tempestivo e 2 milioni di euro sono stati bloccati prima di raggiungere Budapest.

Il milione di euro partito per primo e intestato a prestanome associati agli hacker era però già stato trasferito.  Sono stati così coinvolti, oltre alla Polizia postale, l’Interpol e l’Ufficio Italiano dei Cambi (Uif) della Banca d’Italia che hanno limitato al massimo i danni.

Solo 50.000 euro sono andati irrimediabilmente perduti, mentre i restanti 950.000 euro sono stati congelati e saranno presto restituiti alla Zecca.

Di solito i complici degli hacker prelevano quanto più denaro possibile in modo da prosciugare il conto. In questo caso, per fortuna, non sono stati così rapidi.

Le truffe BEC

Questo genere di truffa ricade nelle cosiddette “Business Email Compromise” (BEC).
Si tratta di attacchi che hanno un target particolare: i dipendenti e i manager che all’interno di un’azienda sono in grado di muovere denaro, o perché gli viene richiesto direttamente da un superiore o perché hanno rapporti diretti con i vari fornitori.

Può succedere così che gli hacker si fingano i manager o i fornitori, attraverso soprattutto false mail (da cui il nome della truffa) ma anche attraverso l’utilizzo di tecniche di deep fake che riproducono con estrema fedeltà voci umane. In questo modo possono chiedere alle vittime, attraverso email o telefonate, di effettuare bonifici su conti correnti che fanno capo a organizzazioni criminali.

Inoltre, grazie alle sofisticate tecniche di ingegneria sociale i criminali riescono ad ottenere le informazioni sulle potenziali vittime, necessarie per ottimizzare le attività criminali.

Il successo delle truffe BEC richiede, infatti, oltre al falso account e-mail, la conoscenza dettagliata dell’identità dei funzionari da contattare, il tono e il fraseggio dell’ordine di acquisto e del gergo di comunicazione nonché la conoscenza delle forniture da ordinare.

Gli ultimi dati sugli attacchi BEC

I rischi derivanti da questo tipo di attacchi si traducono in perdite rilevanti di dati, violazione dei sistemi di sicurezza informatici e ingenti danni economici.

Lo scorso anno, le aziende hanno perso oltre 2,7 miliardi di dollari a causa di queste truffe, secondo il più recente report Internet Crime Report (Report sui crimini di Internet) dell’Internet Crime Complaint Center (IC3) dell’FBI. Una cifra che equivale a 300 milioni di dollari in più rispetto al 2021.

Si tratta di perdite fino a 80 volte superiori a quelle causate dal ransomware.
Secondo l’IC3 dell’FBI, le truffe BEC hanno rappresentato ben il 27% di tutte le perdite finanziarie causate dal crimine informatico nel 2022. Inoltre, il costo medio di un incidente è aumentato da 120.000 dollari nel 2021 a 124.000 dollari nel 2022.

Anche se nel 2022 sono state presentate meno denunce all’IC3 dell’FBI (800.944 contro 847.376), le perdite complessive sono aumentate da 6,9 miliardi di dollari a oltre 10,2 miliardi, pari a un aumento del 48% rispetto all’anno precedente.

Gli attacchi BEC causano un minor numero di vittime rispetto al phishing ma le perdite finanziarie sono molto più elevate. Si tratta infatti di truffe altamente mirate e che per questo comportano perdite finanziarie superiori anche se il loro volume è basso.

Come difendersi dagli attacchi BEC?

I criminali sono sempre più scaltri e le loro tecniche sempre più raffinate. Questo però non deve scoraggiarci perché le soluzioni per difendersi ci sono. Basta seguire le strade giuste. Prima di tutto bisogna tenere bene a mente che di questi tempi, è meglio non fidarsi di nessuno, anche se a scriverci è il nostro capo o il più fedele dei fornitori. Inoltre, non bisogna mai perdere la concentrazione e la consapevolezza delle proprie azioni online e mai agire con fretta e distrazione. Sono proprio queste “debolezze” umane, infatti, le crepe in cui i cyber criminali si infilano per sferrare i loro più efferati attacchi.  Inoltre, prima di effettuare qualsiasi pagamento è fondamentale avviare sempre tutte le verifiche necessarie.
Soprattutto però non bisogna mai smettere di formarsi e di esercitarsi sulla cyber sicurezza.
Si tratta di una conoscenza che va tenuta continuamente aggiornata e che soprattutto va esercitata attraverso programmi di formazione specifici di qualità, che possano essere cuciti perfettamente sulle competenze di ogni singolo studente e sulle caratteristiche dell’organizzazione per cui si lavora.

Articoli correlati

Anche lo Sport è sotto attacco cyber

Anche lo Sport è sotto attacco cyber

Le violazioni al Bologna Calcio e allo Stadio San Siro. I pirati del gruppo RansomHub pubblicano su Dark Web alcuni dei documenti sottratti e chiedono al club di Serie A di pagare un riscatto. "Una delle brecce di dati più grandi della storia dello sport italiano”,...

leggi tutto