Anche noto come Business Email Comprimise (BEC), questo tipo di truffa è sempre più frequente e fa danni per milioni di euro ogni anno.

“Buongiorno Riccardo, abbiamo una situazione urgente che richiede la tua attenzione immediata. Dobbiamo effettuare un pagamento a un nuovo fornitore e ho bisogno che tu ti occupi di questo subito. Per favore, effettua un bonifico di € 15.000 al seguente conto bancario: IBAN: IT60 X054 2811 1010 0000 0123 456 Beneficiario: ABCDE S.r.l. Fammi sapere quando hai completato il pagamento. Confido nella tua discrezione. Grazie, Gianmarco”

Questo potrebbe essere il testo di una truffa del CEO, volutamente scritto con qualche piccolo errore e uno stile poco fluido in italiano per rispecchiare la realtà di molti messaggi di phishing, che vengono scritti da persone che non parlano la lingua della vittima.

Stiamo parlando delle BEC, che in inglese significa Business Email Comprimise, le truffe che sfruttano gli indirizzi aziendali e il nome di un dirigente per chiedere bonifici a quadri intermedi con potere decisionale.

In questo post vediamo come funziona una truffa del CEO, come riconoscerla e cosa fare se pensi di aver ricevuto un messaggio ingannevole. Buona lettura!

Secondo Microsoft, avvengono 156.000 tentativi di truffe di BEC al giorno, con danni a livello mondiale per centinaia di milioni di euro.

Cosa sono le BEC

BEC significa compromissione dell’indirizzo aziendale, perché in questa truffa mediamente elaborata il cybercriminale utilizza l’account di posta elettronica di un manager di un’azienda (se riesce ad hackerarlo) o un indirizzo che ci assomigli.

Per accedere all’account email, l’hacker può utilizzare molti metodi, dal phishing all’ingegneria sociale, dato che ormai online si riescono a trovare moltissime informazioni personali.

LEGGI ANCHE: Cos’è la traccia digitale e perché è importante

Poi, il criminale individua la persona all’interno dell’azienda che è autorizzata a fare bonifici e confeziona un messaggio su misura, che include:

  • Riferimenti ed elementi che solo le persone dell’azienda conoscono, per rendere il messaggio più credibile e farlo apparire legittimo.
  • Una richiesta urgente, che fa leva sulla paura del destinatario di subire conseguenze se non esegue le istruzioni ricevute.
  • Una richiesta ragionevole, che non susciti sospetti.
  • La firma e gli elementi grafici del CEO e dell’azienda.

Oggi, inoltre, questi messaggi sono scritti molto meglio rispetto a due anni, quando erano ancora pieni di errori grossolani, perché i cybercriminali hanno imparato a usare i chatbot come ChatGPT per correggere le bozze.

Una volta preparata la trappola, il criminale aspetta il momento più propizio, ad esempio quando la manager o la CEO è fuori sede (anche queste informazioni vengono trovate con tecniche di ingegneria sociale, ad esempio monitorando i profili social delle vittime), e invia il messaggio.

In molti casi, più di quanti forse vi immaginiate, i bersagli della truffa cadono nel tranello ed effettuano il bonifico senza controllare. Se vi chiedete perché, la risposta si trova nell’elenco qui sopra: l’urgenza, la paura, le emozioni.

Perché funziona la truffa del CEO

Le BEC o truffe del CEO sono temibili perché sfruttano sia l’elemento tecnologico (la violazione di un account email o, in sua assenza, lo spoofing dell’email del CEO) sia l’elemento umano, che è quello che fa cadere il castello di carte.

Sì, perché alla fine spetta sempre a una persona decidere se fare il bonifico o no, e quella persona ha paura di sbagliare, teme eventuali ripercussioni sulla sua carriera o più semplicemente ha così tante cose da fare che non ha tempo di controllare bene tutte le richieste che riceve.

I danni delle truffe BEC

Secondo Europol, le perdite causate da BEC sono state dell’ordine di centinaia di milioni di euro. Inoltre Microsoft ha evidenziato che tra aprile 2022 e aprile 2023, il suo team di intelligence ha rilevato 35 milioni di tentativi di BEC, con una media di 156.000 tentativi giornalieri​​.

Un caso reale di BEC

Poco tempo fa Confindustria ha subito un attacco di questo tipo, con cui un cybercriminale è riuscito a convincere il delegato per la rappresentanza a Bruxelles a fare un versamento urgente di circa 500.000 € su un conto estero.

Come ha sottolineato giustamente il giornalista di Repubblica in questo articolo sulla truffa BEC, viene da farsi alcune domande, ad esempio come sia possibile che questa persona fosse autorizzata a spostare somme di denaro così grosse, soprattutto se consideriamo che si trattava del rappresentante di Confindustria a Bruxelles, non del manager del direttore finanziario.

Evidentemente, i cybercriminali avevano fatto i compiti a casa: grazie alle tecniche di ingegneria sociale a cui abbiamo accennato prima, probabilmente avevano trovato l’anello debole dell’azienda e hanno fatto leva su paura e urgenza, fingendo di essere la direttrice e richiedendo un trasferimento di denaro su un conto che ora non è possibile bloccare.

Prevenire queste truffe è possibile, servono formazione, informazioni, autenticazione avanzata e norme di comportamento interne.

Come riconoscere e prevenire le truffe del CEO

Per prevenire questo tipo di truffe, innanzitutto bisogna seguire le norme di sicurezza contro il phishing: usare l’autenticazione a 2 fattori, informarsi sulle truffe più recenti, usare password complesse e uniche, non fare clic su allegati o link sospetti e imparare a riconoscere i messaggi ingannevoli, che presentano le caratteristiche che abbiamo descritto finora.

LEGGI ANCHE: Phishing, vediamo un caso reale

Ma c’è di più. Nel caso specifico delle truffe con compromissione degli indirizzi email aziendali ci sono 5 misure di sicurezza molto potenti che tutte le aziende possono attuare:

  1. Prevenire la diffusione di informazioni che potrebbero essere sfruttate dai criminali, tra cui anche gli indirizzi email aziendali.
  2. Creare canali di comunicazione interna sicura, ad esempio con email certificate, crittografia, reti private virtuali interne e mille altri metodi che blindano le vie di comunicazione.
  3. Stabilire norme anti-truffa. Ad esempio, se un dipendente riceve una comunicazione che richiede un’operazione economica sospetta, deve verificarne l’autenticità contattando un’altra persona (un terzo punto di contatto) o il mittente, ma utilizzando un canale sicuro o parlandoci di persona.
  4. Organizzare corsi di formazione sulla cybersicurezza e, in particolare, contro le minacce specifiche per la propria azienda e settore.
  5. Fortificare i sistemi di autenticazione. Molte aziende commettono costosi errori di autenticazione avanzata, che è bene conoscere e prevenire.

Seguendo queste linee guida, semplici ma potenti, è possibile potenziare le difese delle imprese contro truffe e cyberattacchi.

In questo post abbiamo visto cosa sono gli attacchi BEC, business email compromise, in Italia conosciuti come truffe del CEO. Abbiamo descritto come avvengono, perché sono efficaci, come riconoscerli e come prevenirli fortificando le difese di sicurezza informatica e le norme aziendali.

E tu, hai mai ricevuto un messaggio sospetto? Nella tua azienda, avete delle linee guida da seguire in questi casi? Faccelo sapere nei commenti!

CONTINUA A LEGGERE: 10 consigli estivi per la sicurezza del tuo PC

Buona navigazione e buona protezione dalle truffe del CEO!