ceo fraud truffa del ceo
La tattica del CEO Fraud, la truffa del CEO, ha dimostrato di essere uno strumento lucrativo per i criminali informatici che cercano di guadagnare dalle aziende. I danni possono ammontare a svariati milioni. Un’altra truffa a danno delle aziende che è bene conoscere per difendersi al meglio.
Quando un’e-mail da parte del capo arriva nella casella, l’attenzione è alta e cerchiamo di rispondere il prima possibile perché si vuole fare bella figura. È proprio su questa determinazione da parte dei dipendenti che sempre più criminali informatici stanno tentando di sfruttare attraverso quella tecnica che viene chiamata CEO Fraud. Lo scopo della truffa è quella di convincere un dipendente dell’azienda responsabile delle transazioni finanziarie a trasferire denaro. Il “trucchetto” è fingere che l’ordine arrivi da un amministratore delegato o da un membro del consiglio di amministrazione. Secondo un report della società di sicurezza informatica KnowBe4 (qui consultabile in PDF), a giugno 2018 più di 22.000 aziende in tutto il mondo sarebbero state vittime della truffa del CEO. Il danno complessivo ammonterebbe a tre miliardi di dollari.
Negli ultimi anni ci sono stati molti tentativi di truffa del CEO che potrebbero essere presi da esempio. Il fatto che non solo le grandi aziende ma anche le PMI possano diventare obiettivo di CEO Fraud è confermato da vari episodi. Uno studio condotto da PwC in Germania a febbraio 2018 ha mostrato come il CEO phishing abbiamo colpito il 40% delle aziende interviste e tra queste nel 5% dei casi la truffa del CEO ha avuto successo. Il 21 ottobre 2016 la ragioniera di una PMI tedesca riceve un’e-mail dal suo presunto capo. Nel messaggio il capo la invitava a trasferire 1,7 milioni di euro su un conto in Cina per un’acquisizione di società. Nonostante i segnali di pericolo, come ad esempio un indirizzo di posta elettronico diverso dal solito, la dipendente contabile non ha riconosciuto in esso una possibile minaccia. La transazione è stata accettata dalla banca senza esitazioni poiché apparentemente tutto in regola. L’azienda tedesca non a più visto quei 1,7 milioni di euro trasferiti, nonostante abbia portato anche in causa la propria banca.
Molti si chiedono come sia ancora possibile che al giorno d’oggi le persone continuino a cade vittime di attacchi phishing come la CEO Fraud. La causa è da trovare nell’ottima organizzazione dei truffatori nello sfruttare le disattenzioni e debolezze umane (leggi a tal proposito: È l’uomo la falla imprevedibile nell’infrastruttura informatica). Preparare una truffa del CEO è un lavoro impegnativo che richiede molto studio preliminare. L’Ufficio federale tedesco per la sicurezza delle informazioni (BSI) ha analizzato questo tipo di attacco phishing e ha suddiviso il lavoro preliminare dei criminali informatici in quattro fasi:
Per iniziare i criminali informatici studiano e determinano un possibile target da attaccare. Per far ciò, i truffatori creano un elenco di potenziali vittime a cui indirizzare la truffa del CEO e selezionano i target sulla base di informazioni aziendali che sono riusciti ad ottenere.
Una volta scelto il target su cui puntare, i criminali informatici cercano di ottenere informazioni più approfondite possibile sull’azienda e sui dipendenti. Si cercherà di rispondere a domande quali “Qual è la struttura aziendale?”, “chi sono i partner commerciali?” o “chi sono i referenti in azienda?”. Nella fase 2 si delinea a grandi linee come verrà svolto l’attacco.
La terza fase è interamente dedicata alla preparazione finale della CEO Fraud. Spesso i truffatori contattano telefonicamente l’azienda in questione per ottenere conferma di informazioni già ottenute. In alcuni casi, prima dell’attacco vero e proprio, c’è addirittura un tentativo di stabilire una relazione con la vittima. La definizione del periodo e la somma da richiedere è una componente importante quando si pianifica un attacco di questo tipo. La fase 3 è anche il momento in cui si raccolgono informazioni sul personale dirigente, sulla loro presenza o meno in azienda. Maggiori informazioni sono le informazioni, meglio è possibile pianificare un attacco vincente.
Basandosi sulle informazioni ottenute, la truffa del CEO è stata pianificata in tutti i dettagli. In un messaggio di posta elettronica apparentemente proveniente dal dirigente o responsabile dell’azienda, il destinatario si troverà di fronte a un compito in cui gli viene richiesto di versare del denaro in un breve lasso di tempo, ad esempio, per completare un presunto business all’estero. Le istruzioni contenute nella mail basate su informazioni precedentemente raccolte dai truffatori evitano possibili sospetti.
Per proteggersi attivamente dalla truffa del CEO basta prendere qualche accorgimento e restare vigili. Possibili suggerimenti sono:
Il consiglio principale è naturalmente quello di restare vigili e controllare in caso di dubbio. Come azienda, è importante fare tutto il possibile per diffondere la cultura della sicurezza informatica tra i dipendenti al fine di evitare possibili truffe.
Il web e le piattaforme social sono diventati un vastissimo contenitore di contenuti. Oltre ai…
Anche nel mondo digitale di oggi non si può prescindere dall’essere presenti offline se si…
Se in passato liste Excel anche poco strutturate, un gran numero di strumenti non integrati…
Di certo, nel 2021 non è più necessario sottolineare l’importanza di avere un sito web.…
Quando si parla di Personal branding parliamo di professionisti che si presentano così come farebbe…
CMS è l’acronimo per Content Management System. Si tratta di programmi utilizzati per creare, modificare…
View Comments