Questo tipo di attacco informatico –mirato ai dipendenti delle aziende – è aumentato costantemente durante l’ultimo anno. La ‘frode CEO’ può colpire qualsiasi tipo di azienda, dalle piccole imprese familiari alle grandi multinazionali ed è fondamentale capire come funziona per proteggere le aziende da esso.

In 2018, il mondo è stato colpito da una truffa che è costata alle aziende circa €1.1 miliardi: “CEO fraud”. Questa truffa è abbastanza comune e probabilmente diventerà ancora di più in 2019.

“CEO fraud”, noto anche come “Business Email Compromise” (BEC), è una truffa in cui i dirigenti di alto livello (noti anche come dirigenti di livello C) sono impersonati, dando ai dipendenti ordini urgenti e riservati per effettuare transazioni finanziarie in un modo che non segue le procedure standard della società. I criminali informatici tentano di costruire la fiducia nelle loro vittime utilizzando le informazioni che sono pubblicamente disponibili online, rendendo così qualsiasi argomento sembra credibile.

Nel corso degli anni, i truffatori sono diventati più sofisticati nel modo in cui hanno posto le basi al punto in cui creano situazioni plausibili con una grande struttura di supporto. Detto questo, il’ modus operandi ‘ rimane lo stesso, composto da quattro fasi principali:

• Fase 1: Scegliere la vittima

Ogni giorno informazioni su futuri eventi aziendali, eventi di sponsorizzazione, viaggi, ecc. è pubblicato sui siti web aziendali e sulle pagine dei social network dei dipendenti. Questi post innocenti che possono cercare di pubblicizzare l’azienda possono essere sfruttati da gruppi criminali per identificare quando un top manager – da una multinazionale o da una PMI – sarà irraggiungibile, o con accesso limitato al computer o al telefono.

Una volta identificata la persona che intendono impersonare, i criminali ricercano il settore aziendale, la rete di contatti, i partner, le transazioni comuni, le notizie di una possibile fusione e se il responsabile ha partecipato o meno a un evento o fiera in cui potrebbe effettuare un grande acquisto. Pertanto, gli scenari più comuni che i criminali hanno usato negli ultimi mesi per guadagnare la fiducia dei dipendenti sono:

• • Un falso direttore contatta un dipendente con accesso agli account aziendali per chiedergli di trasferire urgentemente denaro su un numero di conto che non viene normalmente utilizzato. I criminali informatici sanno chi contattare grazie all’impronta digitale del dipendente-in altre parole, le informazioni pubblicamente disponibili online.
  • Una società di fusioni e acquisizioni falsa o impersonata (M&A) dedicata all’acquisto, alla vendita e alla fusione di società scrive al dipendente chiedendogli di aiutare con l’operazione trasferendo denaro. I criminali si scusano che il loro superiore, che non può essere raggiunto in quel momento, avrebbe dovuto dirglielo prima e che l’operazione è riservata.

• Fase 2: Manipolare il dipendente

Qui è quando ‘ingegneria sociale’ entra in gioco. Una volta che l’alibi è pronto, i criminali chiamano o inviano un’e-mail al dipendente con il permesso di eseguire transazioni o accedere a informazioni sensibili. L’e-mail viene solitamente inviata da un dominio molto simile all’originale in modo che appaia familiare al dipendente. La firma viene solitamente omessa o viene utilizzata una firma molto simile all’originale.

La struttura delle email tende ad includere quanto segue:

• • Breve introduzione che spiega che è una questione molto urgente e riservata che non può essere spiegata a colleghi o superiori.
  • Il corpo dell’e-mail che chiede informazioni sensibili o chiede al dipendente di eseguire una transazione bancaria per un importo elevato a un numero di conto insolito.
  • Una chiusura che ricorda quanto siano importanti la riservatezza e l’urgenza di questa operazione.

A volte l’e-mail non viene da solo. Può essere accompagnato o preceduto da:

• • Telefonate o e-mail precedenti che confermano che il dipendente sarà disponibile al momento dell’invio dell’e-mail.
  • Documenti allegati che simulano un accordo di riservatezza.
  • Dettagli molto specifici sulle procedure aziendali e le transazioni che sembrano familiari al dipendente al fine di ottenere fiducia su ciò che viene richiesto.

• Fase 3: Reazione del dipendente

Il dipendente può reagire facendo ciò che viene richiesto senza mettere in discussione. Ciò accade a causa della natura urgente del messaggio. Il dipendente non si ferma a controllare l’indirizzo email che ha inviato il messaggio, se l’e-mail è stata scritta correttamente in termini di struttura e grammatica, o se la richiesta si adatta alla pratica comune in azienda. Forse il criminale informatico ha fornito dati sufficienti per guadagnare la fiducia del dipendente. Ripetendo più volte che qualcosa è confidenziale, i dipendenti tendono a non condividerlo con i loro colleghi a causa della paura di ripercussioni.

• Fase 4: L’impatto

I numeri di conto utilizzati dai gruppi criminali tendono ad essere in altri paesi. Incidenti segnalati conti utilizzati in Cina, Africa o paradisi fiscali con politiche economiche diverse da quelle in Europa. La legislazione diversa combinata con le differenze di tempo e le barriere linguistiche rendono l’annullamento dei trasferimenti o il tracciamento del denaro un compito impossibile.

Anche i sistemi più sicuri non sono sicuri se le porte sono lasciate aperte ai criminali. Ricorda: Tu sei la migliore difesa!