Come nel business, anche nel mondo del cyber crimine esistono le specializzazioni. Quello delle frodi informatiche ai danni delle aziende è considerato uno dei più ambiti. La logica è semplice: colpire le imprese richiede maggiore impegno e capacità di alto livello, ma il settore di specializzazione garantisce maggiori guadagni. Non è un caso che il fenomeno sia stato portato all’attenzione dell’opinione pubblica anche dall’FBI, che nei suoi report quantifica i danni subiti dalle aziende negli ultimi tre anni in 26 miliardi di dollari.
La tecnica utilizzata dai cyber criminali per la tipologia di attacco informatico che in gergo viene chiamato BEC (Business Email Compromise) o CEO Fraud, segue uno schema ormai consolidato. Si tratta infatti di una campagna mirata che impiega sommariamente le seguenti tattiche:
Tutto comincia con un attacco informatico ai sistemi aziendali che punta a compromettere la casella di posta elettronica dell’amministratore delegato, di un impiegato dell’amministrazione o di un dirigente. In questo modo i pirati informatici possono ottenere informazioni privilegiate che gli consentono di conoscere le dinamiche interne dell’azienda e sottrarre dati sensibili dai sistemi informatici. Questa, però, è solo la fase preparatoria della stangata vera e propria. L’obiettivo della frode, infatti, è quella di intascarsi grandi somme di denaro attraverso una truffa “vecchio stile”.
L’obiettivo dei truffatori, in sintesi, è quello di indurre l’azienda a ordinare un trasferimento di denaro sui loro conti facendogli credere che si tratti di un “normale” pagamento. Per farlo utilizzano quelle che nel settore della cyber security sono chiamate tecniche di ingegneria sociale. Nella pratica, i pirati attendono il momento opportuno (per esempio il giorno in cui il CEO dell’azienda di cui hanno compromesso la casella di posta elettronica è in viaggio) per inviare un messaggio a un suo collaboratore in cui viene urgentemente ordinato un pagamento. Il trucco è semplice ma efficace: agli occhi del destinatario dell’ordine il messaggio proviene infatti da un indirizzo di posta elettronica legittimo del dirigente e il fatto che questi non sia raggiungibile per avere una conferma a voce è giustificato dal fatto che sia in volo.
Per rendere più efficace la frode informatica, spesso i cyber criminali scelgono di inviare il messaggio a fine settimana, vicino all’orario di chiusura degli uffici. Insomma: creano tutti i presupposti per mettere sotto stress l’impiegato che riceve l’ordine in modo che debba prendere una decisione nel giro di pochi minuti e che non possa chiedere aiuto a nessuno. Naturalmente l’ordine di pagamento, che può anche fare apparire come il semplice saldo di una fattura a un fornitore, è alterato in modo che le coordinate bancarie puntino a un conto corrente controllato dai truffatori, che si intascheranno il malloppo e avranno tutto il tempo per farlo sparire.
Nel coro degli ultimi anni, la truffa è stata rielaborata in maniera più o meno articolata, per esempio limitandola a una comunicazione all’ufficio paghe in cui l’apparente mittente comunica un cambio di IBAN per l’accredito dello stipendio. Esistono però casi in cui i truffatori inventano di sana pianta intere operazioni commerciali, acquisizioni di società o progetti per cui creano una dettagliata documentazione (rigorosamente falsa) che viene trasmessa insieme all’ordine di pagamento. I casi di cronaca sono numerosi e non hanno risparmiato nemmeno associazioni benefiche come Save The Children, che nel 2018 ha subito una elaborata truffa di questo tipo che gli è costata 800.000 dollari.
Il contrasto al fenomeno della Business Email Compromise passa per l’adozione di strumenti di prevenzione che agiscono su due piani per prevenire frodi informatiche. Il primo, squisitamente tecnico, prevede un sistema di protezione “forte” degli account di posta elettronica (per esempio attraverso l’adozione di sistemi di autenticazione a due fattori) e dall’uso di sistemi di nuova generazione per la rilevazione degli attacchi informatici.
Si può configurare un sistema SPF, utilizzare firme DKIM e implementare una politica DMARC per limitare le azioni malevole dei cybercriminali. Ovviamente l’uso di queste tecnologie non è la panacea di tutti i mali, non si possono ad esempio evitare frodi effettuate tramite spoofing o domini simili a quello dell’azienda.
Il secondo, invece, prevede un’adeguata formazione dei dipendenti (awareness) e l’implementazione di rigorose policy e procedure di sicurezza per le autorizzazioni degli ordini di pagamento, in cui sia prevista l’obbligatorietà di una conferma da parte di un secondo dirigente per la convalida della transazione.