BEC: a volte non fidarsi è meglio, anche se a chiedercelo è il grande capo

Security Awareness
20 Dicembre 2021
bec-scam

Da bambini ci hanno insegnato a non fidarci mai degli sconosciuti. Una regola di buon senso e che indubbiamente rendeva la vita più facile perché la minaccia non poteva arrivare da una fonte vicina e amica.

Ecco tutto questo oggi è stato stravolto. O meglio ha avuto un upgrade. Perché se è bene continuare a non fidarsi degli sconosciuti, bisogna stare in campana anche con chi conosciamo molto bene. Un principio che dovrebbe diventare un mantra per tutti coloro che ogni giorno si addentrano nella rete e che vale anche per i ruoli di maggiore responsabilità di un’azienda o un’istituzione. Già, perché tra le truffe informatiche più gettonate degli ultimi tempi c’è proprio la Business Email Compromise (BEC), anche chiamata più volgarmente “truffa del CEO”.

Una truffa in continua evoluzione che continua a fare vittime

Si tratta di attacchi che hanno un target particolare: i “C-levels”, ovvero manager che all’interno di un’azienda sono in grado di far muovere denaro e di autorizzare il pagamento di bonifici online. L’appropriazione della loro identità è fondamentale per chiedere alla figura preposta in azienda di effettuare un pagamento urgente di fondamentale importanza. Inutile dire che la somma da versare nel conto corrente indicato nella mail, risulterà poi fare capo a un’organizzazione criminale, ma ormai sarà troppo tardi.

Il bello (si fa per dire) è che con le ultime tecniche di deep fake, che si stanno affinando sempre di più, i cyber criminali riescono a riprodurre la voce di qualsiasi persona, riuscendo così ad ingannare facilmente chi riceve la comunicazione. La truffa del CEO continua così a perfezionarsi, e quando è il capo in persona a fare la richiesta vocale, l’inganno è “quasi” perfetto.

A tutto questo bisogna poi sommare le sempre più sofisticate tecniche di ingegneria sociale grazie alle quali gli hacker ottengono le informazioni sulle potenziali vittime, necessarie per ottimizzare e finalizzare le attività criminali.

Il successo delle truffe BEC richiede, infatti, oltre al furto dell’identità del C-level, anche la conoscenza dettagliata dell’identità dei funzionari da coinvolgere, del tono, del fraseggio e del gergo di comunicazione utilizzati. Tutto per rendere assolutamente credibile la richiesta di un’ordine di acquisto o il pagamento di una fattura.

Quali sono i rischi? Perdite rilevanti di dati, violazione dei sistemi di sicurezza informatici e ingenti danni economici.

Secondo l’ultimo Internet Crime Report dell’FBI, relativo al 2020, questa tipologia di crimine è costato alle aziende colpite oltre 1,8 miliardi di dollari, pari al 44% di tutte le perdite segnalate da aziende e privati lo scorso anno.
E’ stata la stessa FBI che ha messo in guardia sull’evoluzione degli attacchi BEC. Questi possono andare dal furto d’identità, alla violazione degli account email dei dirigenti, dalle richieste di bonifici bancari verso conti fraudolenti, all’appropriazione indebita degli stipendi, dalle richieste di carte regalo, all’appropriazione di spedizioni.

Last but not least le frodi legate alle fatture dei fornitori, che risultano essere la causa delle perdite maggiori.

Insomma, l’ultima evoluzione di questo crimine è che invece di prendere di mira direttamente le aziende, gli attacchi si rivolgono sempre più a clienti, dipartimenti HR, fornitori, commercialisti, studi legali e persino alle autorità fiscali. Oltre a generare o a deviare direttamente le transazioni in valuta, le truffe BEC sono state utilizzate per deviare le dichiarazioni dei redditi e persino trasferire hardware e attrezzature per milioni di dollari sotto il controllo dei criminali informatici.

Poche sono le strutture che fino ad ora l’hanno scampata. Questo genere di truffa ha infatti colpito in tutto il mondo il 70% delle aziende e organizzazioni in tutti i settori, pubblici e privati.

A questo punto la domanda sorge spontanea: Come difendersi da tutto questo?

Prima di tutto avendo bene a mente che di questi tempi, è meglio essere molto prudenti e riflettere con attenzione prima di agire, anche se a scriverci o a chiamarci, è il nostro capo o il più fedele dei fornitori. Inoltre ricordandoci quanto sia importante una formazione efficace e continua sui temi della cyber security awareness, senza mai dimenticarci di seguire alcuni utili consigli:

  • mai perdere la concentrazione e la consapevolezza di quello che si sta facendo e mai agire con fretta e distrazione;
  • attivare sempre tutte le verifiche necessarie prima di dare il via ad azioni che potrebbero portarci molto velocemente a conseguenze irreversibili;
  • mai smettere di praticare una formazione di qualità, sia teorica sia pratica.

I cyber criminali si infilano con astuzia nelle crepe della distrazione e della inconsapevolezza. Quelle crepe, con altrettanta astuzia, vanno tenute ermeticamente chiuse.

Per saperne di più sui percorsi formativi di Cyber Guru

Articoli correlati

Rapporto Clusit 2024: i dati che preoccupano

Rapporto Clusit 2024: i dati che preoccupano

In Italia bersagliato il manifatturiero ma gli attacchi alla sanità crescono dell’83% rispetto al primo semestre 2023.La centralità del fattore umano. Dal fronte cyber non arrivano buone notizie. Anzi, la guerra (perché di questo si tratta) è più accesa che mai e il...

leggi tutto