La tattica del CEO Fraud, la truffa del CEO, ha dimostrato di essere uno strumento lucrativo per i criminali informatici che cercano di guadagnare dalle aziende. I danni possono ammontare a svariati milioni. Un’altra truffa a danno delle aziende che è bene conoscere per difendersi al meglio.

CEO Fraud: fingersi qualcun altro

Quando un’e-mail da parte del capo arriva nella casella, l’attenzione è alta e cerchiamo di rispondere il prima possibile perché si vuole fare bella figura. È proprio su questa determinazione da parte dei dipendenti che sempre più criminali informatici stanno tentando di sfruttare attraverso quella tecnica che viene chiamata CEO Fraud. Lo scopo della truffa è quella di convincere un dipendente dell’azienda responsabile delle transazioni finanziarie a trasferire denaro. Il “trucchetto” è fingere che l’ordine arrivi da un amministratore delegato o da un membro del consiglio di amministrazione. Secondo un report della società di sicurezza informatica KnowBe4 (qui consultabile in PDF), a giugno 2018 più di 22.000 aziende in tutto il mondo sarebbero state vittime della truffa del CEO. Il danno complessivo ammonterebbe a tre miliardi di dollari.

Truffa del CEO: un pericolo anche per le PMI

Negli ultimi anni ci sono stati molti tentativi di truffa del CEO che potrebbero essere presi da esempio. Il fatto che non solo le grandi aziende ma anche le PMI possano diventare obiettivo di CEO Fraud è confermato da vari episodi. Uno studio condotto da PwC in Germania a febbraio 2018 ha mostrato come il CEO phishing abbiamo colpito il 40% delle aziende interviste e tra queste nel 5% dei casi la truffa del CEO ha avuto successo. Il 21 ottobre 2016 la ragioniera di una PMI tedesca riceve un’e-mail dal suo presunto capo. Nel messaggio il capo la invitava a trasferire 1,7 milioni di euro su un conto in Cina per un’acquisizione di società. Nonostante i segnali di pericolo, come ad esempio un indirizzo di posta elettronico diverso dal solito, la dipendente contabile non ha riconosciuto in esso una possibile minaccia. La transazione è stata accettata dalla banca senza esitazioni poiché apparentemente tutto in regola. L’azienda tedesca non a più visto quei 1,7 milioni di euro trasferiti, nonostante abbia portato anche in causa la propria banca.

Ecco come funziona la CEO Fraud

Molti si chiedono come sia ancora possibile che al giorno d’oggi le persone continuino a cade vittime di attacchi phishing come la CEO Fraud. La causa è da trovare nell’ottima organizzazione dei truffatori nello sfruttare le disattenzioni e debolezze umane (leggi a tal proposito: È l’uomo la falla imprevedibile nell’infrastruttura informatica). Preparare una truffa del CEO è un lavoro impegnativo che richiede molto studio preliminare. L’Ufficio federale tedesco per la sicurezza delle informazioni (BSI) ha analizzato questo tipo di attacco phishing e ha suddiviso il lavoro preliminare dei criminali informatici in quattro fasi:

Fase 1 Selezione del target

Per iniziare i criminali informatici studiano e determinano un possibile target da attaccare. Per far ciò, i truffatori creano un elenco di potenziali vittime a cui indirizzare la truffa del CEO e selezionano i target sulla base di informazioni aziendali che sono riusciti ad ottenere.

Fase 2 Analisi del contesto

Una volta scelto il target su cui puntare, i criminali informatici cercano di ottenere informazioni più approfondite possibile sull’azienda e sui dipendenti. Si cercherà di rispondere a domande quali “Qual è la struttura aziendale?”, “chi sono i partner commerciali?” o “chi sono i referenti in azienda?”. Nella fase 2 si delinea a grandi linee come verrà svolto l’attacco.

Fase 3 Preparazione dell’attacco

La terza fase è interamente dedicata alla preparazione finale della CEO Fraud. Spesso i truffatori contattano telefonicamente l’azienda in questione per ottenere conferma di informazioni già ottenute. In alcuni casi, prima dell’attacco vero e proprio, c’è addirittura un tentativo di stabilire una relazione con la vittima. La definizione del periodo e la somma da richiedere è una componente importante quando si pianifica un attacco di questo tipo. La fase 3 è anche il momento in cui si raccolgono informazioni sul personale dirigente, sulla loro presenza o meno in azienda. Maggiori informazioni sono le informazioni, meglio è possibile pianificare un attacco vincente.

Fase 4 Fase d’attacco

Basandosi sulle informazioni ottenute, la truffa del CEO è stata pianificata in tutti i dettagli. In un messaggio di posta elettronica apparentemente proveniente dal dirigente o responsabile dell’azienda, il destinatario si troverà di fronte a un compito in cui gli viene richiesto di versare del denaro in un breve lasso di tempo, ad esempio, per completare un presunto business all’estero. Le istruzioni contenute nella mail basate su informazioni precedentemente raccolte dai truffatori evitano possibili sospetti.

Suggerimenti per proteggersi dalla CEO fraud

Per proteggersi attivamente dalla truffa del CEO basta prendere qualche accorgimento e restare vigili. Possibili suggerimenti sono:

  • Le aziende dovrebbero, ad esempio, prestare maggiore attenzione su quali informazioni mettono in chiaro e cosa rivelano sui dipendenti.
  • È consigliabile introdurre regolamenti di assenze e meccanismi di controllo interni.
  • In caso di ordini di pagamento insoliti, è necessario controllare sempre il mittente dell’e-mail, verificare la richiesta di pagamento e contattare il supervisore o la direzione.
  • Le aziende sono tenute a informare i propri dipendenti circa il rischio di fronte del CEO e in generale a mantenere un alto tasso di conoscenza in materia di sicurezza informatica (leggi La sicurezza informatica integrata alla cultura aziendale).
  • La firma digitale è un possibile strumento di protezione. Con un certificato S/MIME è possibile firmare digitalmente le e-mail e quindi autenticarsi al destinatario.

Concludendo…

Il consiglio principale è naturalmente quello di restare vigili e controllare in caso di dubbio. Come azienda, è importante fare tutto il possibile per diffondere la cultura della sicurezza informatica tra i dipendenti al fine di evitare possibili truffe.

Etienne Roser

Redattore online appassionato del mondo digitale. Voglio informare i lettori sui vari temi legati al WWW.

X