È nota come “CEO Fraud”, la truffa del CEO, e consiste in uno degli attacchi informatici più sofisticati e pericolosi per le aziende, soprattutto di piccole e medie dimensioni.
Più tecnicamente, si chiama Business e-mail compromise e ha luogo quando un cyber criminale si finge il CEO (o un’altra figura manageriale) di un’azienda e si inserisce in conversazioni via e-mail già esistenti, iniziando trattative con utenti che hanno abitualmente una corrispondenza con la persona a cui ha rubato l’identità virtuale.
Le conseguenze di questi attacchi possono essere estremamente critiche. Oltre alla perdita di denaro, infatti, entra in gioco il tema reputazionale della società e naturalmente dei dirigenti che vengono coinvolti.
Per compiere questo tipo di attacco servono alte competenze tecniche e di ingegneria sociale oltre che un lungo periodo di preparazione approfondita e studio della vittima. Si tratta quindi di una truffa difficile da riconoscere e per questo così pericolosa e diffusa.
Secondo un’analisi di Symantec, l’Italia, con circa 400 aziende colpite al giorno, è al secondo posto dopo gli Stati Uniti per numero di attacchi di questo tipo. Il dato risulta essere ancora più impressionante se si considera che la maggior parte delle imprese-vittime sceglie di non dichiarare l’attacco, rendendo così questo numero inferiore alla realtà.
Inoltre, in un periodo in cui le aziende sono chiamate ad incentivare il lavoro da remoto dei propri dipendenti, limitando quanto più possibile i contatti personali, aumentano le possibilità di essere colpiti da attacchi di questo tipo.
Indice degli argomenti
La truffa del CEO: come riconoscerla
Innanzitutto, dal “falso CEO” giunge solitamente la richiesta di versare denaro, spesso in modo rateale, su un conto corrente diverso da quello normalmente utilizzato.
Il cyber criminale chiede solitamente di comunicare esclusivamente via mail motivando la sua richiesta con ragioni di urgenza e confidenzialità, che possono suonare anche molto credibili e familiari.
Le vittime prescelte, inoltre, sono spesso dipendenti con ruoli che prevedono la possibilità di intervenire nella contabilità dell’azienda e abituati quindi a gestire trasferimenti di denaro.
È bene specificare che, sebbene la richiesta di denaro sia effettivamente la più comune, non è raro che gli attaccanti, nei panni dei manager, chiedano di compilare sondaggi o di accedere ad aree riservate appositamente costruite per il furto di credenziali.
In generale, nelle conversazioni virtuali aziendali è importante fare attenzione a qualunque anomalia, qualcosa che non rientra nel normale funzionamento. Se, per esempio, un Amministratore Delegato chiede ai propri collaboratori di compilare un form, senza averlo mai fatto prima, è buona norma sospettare del link che ha allegato e chiedere conferma attraverso un altro canale di comunicazione.
Dopo aver individuato questo tipo di attacco informatico, è bene segnalarlo prontamente al proprio supporto tecnico e verificare sempre il mittente con un canale di comunicazione differente.
La prevenzione, tra competenza e consapevolezza
Le aziende più esposte sono quelle che basano gran parte dei loro processi interni sullo scambio di e-mail. Se i bonifici fossero fattibili solo tramite ERP e con l’autorizzazione esplicita di più persone, la riuscita di un attacco del genere sarebbe più complessa.
Esistono, inoltre, altrettanto validi strumenti di cui il comparto di cyber intelligence può farsi carico per garantire una strategia di difesa efficace: password sicure, autenticazioni multi-fattore, processi interni di gestione della posta elettronica, procedure anti-frode, analisi delle e-mail, dei domini e di altri indizi.
Come altre frodi, la truffa del CEO colpisce persone non consapevoli del rischio o superficiali rispetto ai processi interni.
A questo proposito è molto importante che le aziende facciano formazione costante.
In questo periodo, poi, in cui lavoriamo quasi esclusivamente da remoto, è necessario invertire la relazione di fiducia: ogni comunicazione è potenzialmente malevola ed è importante chiedersi se rientra nella classificazione di anomalia: “mi sarei aspettato questo o è strano”? Se nessuno vi ha mai scritto per chiederti la password, non lo farà neanche ora.
