Truffa del CEO (anche chiamato whaling), quando il cyber criminale si maschera da insospettabile
Effettuare velocemente e senza pensarci troppo un bonifico di quasi un milione di euro e accorgersi pochi minuti dopo di essere stati truffati e aver perso, in un batter di ciglia, tanti soldi e altrettanta credibilità e prestigio.
E dire che non è successo a uno sprovveduto scarso conoscitore della tecnologia ma a un manager di alto livello di un colosso internazionale delle produzioni televisive. Jaime Ondarza, italo-boliviano, 55 anni, da pochi mesi Ceo per l’Europa meridionale di Fremantle casa di produzione di programmi di successo come «X Factor», «Italia’s Got Talent», «Un Posto al Sole».
Lo scorso 19 marzo un messaggio WhatsApp con le credenziali dell’amministratore delegato della sede centrale della società è bastato per convincerlo ad effettuare, senza pensarci troppo, un bonifico da 937.670 euro con effetto immediato per l’acquisizione di una ditta in Asia.
Così, dopo aver risposto affermativamente a questa richiesta che, per un’azienda come Fremantle non era neanche tanto strana, è arrivata sul suo account aziendale di posta elettronica un’altra comunicazione, anch’essa falsa, intestata apparentemente a un avvocato di sua conoscenza.
Un finto profilo, rubato probabilmente dalla rete di contatti del manager, che gli comunicava l’iban su cui fare il versamento.
E così il bonifico è partito, per la gioia dei criminali che hanno sicuramente festeggiato chissà in quale parte del globo.
I soldi sono infatti arrivati su un conto corrente di una banca asiatica e successivamente distribuiti ad altre decine di iban sparsi per l’Estremo Oriente ma anche in altri posti del mondo.
Solo dopo qualche ora il manager ha iniziato a sospettare che c’era qualcosa di strano nell’operazione che aveva appena concluso. É bastato poco a quel punto per capire di essere stato frodato e che, nonostante l’immediato allarme al 112 in piena notte e la denuncia alla polizia postale la mattina successiva, i soldi erano ormai irrimediabilmente perduti.
Ondarza sarebbe rimasto vittima di un trucco che sfrutta le falle di un sistema informatico poco protetto. Sarebbe stato, infatti, secondo il Corriere della Sera, “bucato inizialmente con uno spoofing, ovvero, con un messaggio inviato da un profilo clonato con un numero VoIP per la trasmissione dati che lui pensava fosse quello del suo diretto superiore e che invece variava di poco dall’originale.
Truffa del CEO o Whaling
Quella che ha colpito il manager si chiama comunemente “truffa del CEO” o in linguaggio più tecnico Business E-mail Compromise.
Si tratta di attacchi che hanno un target particolare: i “C-levels”, ovvero i dipendenti e i manager che all’interno di un’azienda sono in grado di muovere denaro, soprattutto di effettuare bonifici online. È a loro, infatti, che viene inviata una mail proveniente apparentemente da una figura apicale dell’azienda, con la richiesta di effettuare un bonifico urgente verso un conto corrente che, si scoprirà solo dopo, fa capo a un’organizzazione criminale.
Inoltre, con l’evoluzione continua della tecnologia e anche del crimine, le varianti della Truffa del Ceo ormai sono molte: Dal messaggio che arriva via WhatsApp alla telefonata, visto che i cyber criminali riescono ormai a riprodurre la voce di qualsiasi persona, riuscendo così ad ingannare facilmente chi riceve la comunicazione.
Ci sono poi le varie operazioni di Spoofing, cioè un’ampia gamma di attacchi in cui un hacker nasconde la propria identità fingendo di essere una fonte affidabile per ottenere accesso a informazioni riservate, aggirando per l’impersonificazione le regole di autenticazione basate su indirizzi IP e nomi host.
Tutto questo va a sommarsi alle sofisticate tecniche di ingegneria sociale grazie alle quali i criminali ottengono le informazioni sulle potenziali vittime, necessarie per ottimizzare le attività malevole.
Il successo di questo genere di truffe richiede, infatti, oltre al falso account e-mail, la conoscenza dettagliata dell’identità dei manager da contattare, il tono e il fraseggio dell’eventuale ordine di acquisto e del gergo di comunicazione utilizzato, la conoscenza degli acquisti da fare, i contatti social della vittima, le sue abitudini e tutto quello che può essere utile per rendere l’inganno il più possibile realistico.
I rischi derivanti da questo tipo di attacchi si traducono in perdite rilevanti di dati, violazione dei sistemi di sicurezza informatici e, soprattutto, ingenti danni economici, come l’ultimo caso dimostra.
Poche sono le strutture che fino ad ora l’hanno scampata. Questo genere di truffa ha infatti colpito in tutto il mondo circa il 70% delle aziende e organizzazioni in tutti i settori, pubblici e privati.
A questo punto la domanda sorge spontanea: come difendersi da questa truffa?
Prima di tutto avendo bene a mente che di questi tempi, è meglio non fidarsi di nessuno, anche se a scriverci è il nostro capo o il più fedele dei fornitori;
Verificare sempre chiamando il diretto interessato e accertarsi dell’autenticità della richiesta;
fare sempre una verifica dell’indirizzo e-mail del mittente.
Inoltre, ricordandoci l’importanza di stare sempre “sul pezzo” con la cyber security awareness:
mai perdere la concentrazione e la consapevolezza di quello che si sta facendo e mai agire con fretta e distrazione;
attivare sempre tutte le verifiche necessarie prima di dare il via ad azioni che potrebbero portarci molto velocemente a conseguenze irreversibili;
mai smettere di praticare una formazione di qualità, sia teorica sia pratica.
I cyber criminali si infilano con astuzia nelle crepe della distrazione e della inconsapevolezza. Quelle crepe, con altrettanta astuzia, vanno tenute ermeticamente chiuse.