È in corso, almeno da novembre 2022, una campagna fraudolenta ai danni delle figure apicali di grandi aziende italiane e non solo. Si tratta di una particolare frode che utilizza le tecniche del phishing per l’operatività delle email malevole e quelle del social engineering per rendere credibile il raggiro che, solitamente, culmina con perdite economiche anche rilevanti per le aziende prese di mira.
Indice degli argomenti
Whaling phishing, la frode ai C-level aziendali
La frode dei CEO, nota anche come whaling phishing, è una forma avanzata di phishing che prende di mira i dipendenti senior di un’organizzazione. Secondo un recente rapporto britannico, più di 400 organizzazioni vengono prese di mira ogni giorno da frodi di amministratori delegati, con perdite totali di quasi 3,5 miliardi di sterline negli ultimi tre anni.
Anche se il nome della truffa lascia supporre che a essere presi di mira siano esclusivamente i CEO delle aziende, in realtà chiunque abbia grandi responsabilità all’interno delle organizzazioni, come i membri del consiglio di amministrazione e coloro che hanno accesso ai conti bancari aziendali, può essere nel perimetro considerato dai criminali.
È il CSIRT (Computer Security Incident Response Team) italiano ad allertare relativamente a quest’ultima recente campagna di whaling phishing. Dalle prove analizzate, l’organizzazione malevola cerca di instaurare un dialogo con i C-level via e-mail, finalizzato all’esecuzione di ingenti movimenti economici.
Nell’immagine, condivisa dal report CSIRT, si fa riferimento ad un esempio di e-mail malevola, in italiano. Ovviamente la forma e la lingua utilizzata, vengono di volta in volta modulate in base al destinatario della frode, adattandola a qualsiasi azienda localizzata in un differente Paese (italiano, inglese, tedesco).
Oltre la mail di phishing, che cerca di rendere credibile la comunicazione, i destinatari vengono indotti a dar seguito al dialogo, nella maggior parte dei casi, con tecniche di ingegneria sociale e instaurando il discorso dal punto di vista legale (oppure obblighi verso terzi), al fine di risultare convincenti sull’importo e sulle ragioni della richiesta.
Concludendo, sempre, con l’ultima risposta contenente le coordinate bancarie per finalizzare il trasferimento. Il tutto viene arricchito della spontaneità distintiva di quando si parla (con chi ha il potere di spesa), come di un’operazione ovvia e routinaria, quasi inevitabile.
Attenzione al whaling phishing
Fondamentalmente, come abbiamo visto, la frode dei CEO funziona più o meno allo stesso modo di altri tipi di phishing. Le truffe assumono la forma di un’e-mail fasulla che replica un mittente legittimo e incoraggiano il destinatario a consegnare i propri dati personali, autorizzare movimenti economici o scaricare un allegato contenente malware.
Ma la differenza con la frode del CEO, e ciò che la rende una minaccia così pericolosa, è che i messaggi sono altamente mirati.
Per sua natura, il whaling phishing richiede che l’aggressore raggiri i dipendenti e nasconda il proprio intento dannoso. Se un messaggio contiene uno dei seguenti segni, potrebbe trattarsi di una truffa:
- una richiesta di trasferimento di denaro o di condivisione di informazioni sensibili. Indipendentemente dal pretesto utilizzato dal mittente, il suo obiettivo è sempre quello di fare soldi, direttamente o rubando dati che possono poi essere rivenduti;
- il tono di urgenza. Le truffe sono progettate per indurre le persone ad agire rapidamente prima che abbiano la possibilità di pensarci bene. La frode del CEO di solito lo fa facendo apparire la richiesta sensibile al tempo;
- il mittente non è al momento disponibile. Quando ricevi un’e-mail sospetta, il tuo primo pensiero potrebbe essere quello di contattare direttamente il mittente per chiarimenti. I truffatori mitigano questo rischio insinuando che il mittente non è disponibile, spesso perché è in riunione o sta riscontrando problemi tecnici. Controllarne sempre in prima persona la veridicità della comunicazione invece, resta un’azione estremamente necessaria;
- una richiesta di riservatezza. I truffatori sanno che potrebbero essere denunciati (e quindi scoperti) se il destinatario menziona l’e-mail a un collega, quindi spesso lasciano intendere che la loro richiesta è classificata.
