Oggi vogliamo raccontarti di un meccanismo truffaldino molto in auge in questi ultimi tempi: la truffa BEC (Business E-mail Compromise), anche nota come “CEO Fraud” o “truffa del CEO”.
Il meccanismo alla base della truffa BEC – una variazione del più generico phishing – è abbastanza semplice e sfrutta uno strumento universalmente utilizzato come la posta elettronica per recapitare richieste di trasferimento di denaro studiate in modo che la loro origine possa sembrare lecita.
L’esempio classico è quello del dirigente o titolare d’azienda (da qui il nome di “truffa del CEO”) che invia alla propria contabilità la richiesta di bonificare urgentemente e senza troppe domande una certa somma a un presunto nuovo fornitore strategico. Una variante assai diffusa, invece, è quella del finto fornitore che comunica l’avvenuta variazione delle proprie coordinate bancarie presso le quali la vittima potrà saldare le fatture in scadenza. Come avrai intuito, in tutti e due i casi si tratta di e-mail fasulle.
Agli occhi della vittima, ognuna di queste e-mail appare legittima: le intestazioni sono corrette, il linguaggio usato è quello giusto, l’indirizzo e-mail del mittente corrisponde, il destinatario è la persona che si occupa esattamente di quel tipo di operazioni. Nel turbine del lavoro quotidiano, la richiesta viene mandata avanti e l’azienda trasferisce soldi a un perfetto sconosciuto.
Qual è il trucco? Semplicemente una accurata preparazione da parte dei malintenzionati che trascorrono lungo tempo a studiare le loro vittime risalendo con pazienza a tutte le informazioni necessarie: organigrammi aziendali con nomi e contatti, aspetto grafico delle e-mail, stile del testo… tutte cose che si possono recuperare su fonti pubbliche, con qualche innocua richiesta diretta per e-mail o per telefono. E quando questo non fosse sufficiente, è sempre possibile rivolgersi al Dark Web dove, per esempio, a fine 2021 erano in vendita i dettagli personali di 4.000 manager di aziende italiane.
È evidente come la prima conseguenza di questi attacchi consiste in una perdita secca di denaro da parte della vittima. A seconda delle dimensioni dell’azienda, i danni possono essere quantificati anche in milioni di euro; in genere si tratta comunque sempre di somme importanti dal momento che i cybercriminali cercano di ottimizzare la redditività del loro lavoro estorcendo le cifre più alte possibili entro i limiti di quanto reputano fattibile in base alle loro analisi delle caratteristiche e dei comportamenti dell’organizzazione colpita.
Anche se le attività di polizia postale e magistratura dirette a contrastare questo fenomeno si stanno rafforzando, una volta colpito da una truffa del genere potrai fare tuttavia ben poco per recuperare le somme estorte: in genere i malintenzionati si avvalgono di uno schema che coinvolge aziende con sedi e operazioni in differenti Paesi in modo da dirottare i bonifici all’estero per complicare ulteriormente il tracciamento del denaro e, quindi, il suo possibile recupero.
Le conseguenze, tuttavia, non si fermano qui. Al danno economico si aggiunge spesso un problema di pubbliche relazioni e di credibilità. Non è mai bello quando il nome della tua azienda finisce sui media perché si è lasciata truffare. Non ci fai una buona figura e lanci ai tuoi clienti un segnale negativo destinato inevitabilmente a ripercuotersi sul tuo business.
Non è tutto. Prova a immaginare cosa può accadere quando inizi a sollecitare a un tuo cliente il saldo di una fattura che a lui risulta regolarmente pagata… a un IBAN che però nulla c’entra. Facile che a quel punto cominci uno spiacevole rimpallo sulle responsabilità di quel falso IBAN e dei controlli che avrebbero dovuto essere effettuati prima del pagamento ma che nessuno ha svolto. Se anche non si finisce in tribunale per dirimere la questione, è abbastanza logico prevedere che i rapporti con quel cliente non saranno mai più come prima, se non verranno addirittura interrotti.
Paradossalmente, sono proprio i danni non monetari a essere quelli più pericolosi per la tua attività. In fondo l’aspetto finanziario potrebbe essere secondario per te: magari la cifra che hai perso non è così significativa, magari sei assicurato, magari riesci in qualche modo a tornare in possesso del denaro che ti è stato illecitamente carpito; ma niente e nessuno potrà mai cancellare la perdita di immagine e l’avvelenamento dei rapporti con i tuoi clienti e i tuoi fornitori.
Come accade con tutte le minacce circolanti nel mondo digitale – e sono davvero tante – esistono comunque delle contromisure che puoi adottare in tempi rapidi e a poco costo per minimizzare o annullare i vari rischi che corri quotidianamente.
Iniziamo con qualche soluzione tecnica che non dovrebbe mai mancare nel tuo ambiente informatico a prescindere dalle truffe BEC o dagli attacchi di qualunque altro genere:
- Il firewall. Software o hardware che sia, il firewall è un componente critico di qualsiasi infrastruttura di rete e il suo scopo è quello di bloccare tutto il traffico non previsto dalle regole stabilite. Alcuni firewall maggiormente evoluti sono anche in grado di osservare e analizzare il traffico circolante in ingresso e in uscita con un notevole grado di approfondimento segnalando e fermando tutti i contenuti sospetti. Anche se il firewall da solo non è sufficiente a garantire una protezione completa, esso è tuttavia il primo tassello di una difesa di successo per la salvaguardia della tua azienda.
- L’antivirus. Applicazione indispensabile, l’antivirus ha continuato a evolversi e oggi si propone sul mercato con tante varianti anche molto diverse tra loro. La nuova frontiera di questa tecnologia riguarda l’utilizzo di algoritmi di machine learning e intelligenza artificiale che si accorgono dei comportamenti sospetti di qualunque software senza più dover fare affidamento su un catalogo di campioni (le cosiddette segnature o firme digitali del malware) costantemente ma mai totalmente aggiornato. Un buon antivirus può tenerti al riparo anche di fronte a vulnerabilità mai osservate prima, costituendo un bastione algoritmico per la difesa del tuo ambiente software.
- L’antispam. Nato per contrastare un semplice fastidio come le mail pubblicitarie indesiderate, l’antispam ha visto crescere il proprio ruolo negli anni in concomitanza con l’utilizzo della posta elettronica come vettore per diffondere qualsiasi genere di contenuto pericoloso: allegati eseguibili, link malevoli, documenti modificati per attivare attacchi e così via. Un buon antispam oggi agisce contemporaneamente da sistema antiphishing bloccando e-mail truffaldine di ogni genere, comprese quelle altamente personalizzate che sono alla base delle truffe BEC.
- L’autenticazione a due fattori. Colloquialmente nota con la sigla 2FA (“2 Factor Authentication”), questa tecnica ti sarà nota perché molto probabilmente la adoperi già per verificare le operazioni online con la tua banca. La verifica 2FA scatta dopo l’invio delle normali credenziali nome utente + password comunicando – per SMS, e-mail o app del telefono – un ulteriore codice usa e getta che va quindi digitato per completare l’accesso. Il codice viaggia su un canale diverso da quello della richiesta di accesso originale rendendo così insufficiente la conoscenza delle sole credenziali di base. È una buona idea utilizzare una tecnica 2FA per proteggere le caselle di posta elettronica della tua azienda (e non solo) vincolando l’accesso, per esempio, al possesso di un numero di telefono “certificato” al quale istradare gli SMS con i codici di controllo.
Fin qui gli accorgimenti che puoi mettere in pista in modo relativamente facile ed economico chiedendo l’intervento del tuo consulente IT di fiducia che saprà consigliarti in modo adeguato sulla base delle caratteristiche del tuo ambiente e della tua attività.
Come abbiamo visto, le truffe BEC (e la categoria degli attacchi phishing più in generale) si caratterizzano per una componente tecnologica minimale ricorrendo più che altro a una leva psicologica e facendo affidamento su probabili atteggiamenti di disattenzione delle vittime.
Per questo una soluzione esclusivamente tecnologica non è sufficiente: come gli attaccanti, anche tu devi prestare massima cura all’aspetto umano sensibilizzando i tuoi collaboratori circa i rischi che si possono correre inconsapevolmente nel lavoro di tutti i giorni.
Sensibilizzare in questo caso non significa raccontare semplicemente qualche aneddoto cybercriminale davanti alla macchinetta del caffè, ma dev’essere frutto di un preciso programma di formazione. L’argomento si presta comunque a stimolare l’interesse degli ascoltatori anche perché trova facilmente riscontro nelle attività quotidiane di tutti noi; quindi, la relativa proposta formativa viene ben accolta anche da chi di solito dimostra scarso interesse verso i normali corsi obbligatori per legge.
Dalla sensibilizzazione devono poi scaturire comportamenti appropriati. Ciascuno di noi può riflettere sui punti deboli che ritiene di aver identificato nelle proprie attività e proporre adeguate contromisure che possono essere quindi condivise con i colleghi, messe alla prova e infine formalizzate tra le buone pratiche dell’azienda.
Gli esperti parlano in questo caso di “processi“, termine che può generare qualche timore specie nelle realtà più piccole o addirittura tra chi esercita un’attività individuale. Tutto è più facile se ci limitiamo a chiamarli “accorgimenti“, semplici ma efficaci consigli utili a non finire in trappola.
Nel caso delle truffe che abbiamo analizzato in questo documento potrebbero essere suggerimenti apparentemente banali, come fare sempre una telefonata diretta per controllo alla persona che richiede un pagamento fuori dai normali standard interni dell’azienda oppure al fornitore che abbia variato il proprio IBAN in fattura senza preavviso.
Certo, criminali molto esperti e motivati potrebbero impossessarsi del numero di cellulare di una persona (in genere grazie alla presenza di complici all’interno delle compagnie telefoniche) e falsificare la voce dell’interlocutore usando tecniche di deep fake basate sull’intelligenza artificiale: situazioni oggi rare ma non impossibili, e probabilmente destinate a diffondersi in futuro. In questo caso le proverbiali quattro chiacchiere informali aiutano a capire se dall’altro capo del filo c’è effettivamente la persona che afferma di essere, rinviando a ulteriori controlli più approfonditi in caso di dubbi.