La truffa del CEO: azienda colpita da BEC

Si è diffusa a partire dal 2019 e durante la pandemia ha toccato livelli di diffusione mai visti prima: parliamo della Truffa del CEO o anche chiamata CEO Fraud ovvero la truffa dell’amministratore delegato. Colpisce prettamente le piccole-medie imprese e una buona parte dei tentativi di attacco va a buon segno. Ma vediamo più nel dettaglio di che cosa si tratta e quali effetti collaterali provoca nelle vittime colpite.

Truffa del CEO,
da dove partire

In questi mesi, un terzo degli italiani è ancora a casa in telelavoro e assistiamo ad un’impressionante crescita degli attacchi informatici. Se è vero che la fantasia non ha confini, allora persino gli hacker sono dei veri creativi.

Vi abbiamo promesso un articolo su truffa CEO (o CEO Fraud) e il caso di un’azienda mantovana, ed è proprio quello di cui parleremo a breve.

Ma prima, un passo indietro: cosa sta accadendo nel web (e nel mondo) in questi ultimi mesi?

1. Che cos’è la truffa CEO?

2. Come funziona la Ceo Fraud

3. Quali sono gli effetti della Truffa CEO

4. Step della Ceo Fraud

5. Tecniche dell’attacco BEC

6. Truffa CEO, quante aziende colpite

7. Ceo Fraud: azienda di Mantova colpita

8. Come intervenire in caso di Truffa Ceo

9. Onorato Informatica – protezione Truffa del Ceo

La truffa del CEO è un attacco informatico estremamente mirato.

L’hacker che dispone l’attacco si finge il CEO dell’azienda (o il proprietario nel caso di piccole aziende). Questo è possibile perché l’hacker individua l’indirizzo e-mail dell’amministratore delegato e ne prende immediatamente il controllo. Successivamente l’hacker invia un’e-mail al reparto amministrativo dell’azienda utilizzando l’indirizzo e-mail dell’amministratore delegato,  richiedendo il versamento di una somma di denaro per una transazione urgente.

Il testo di un’email di CEO Fraud recita un messaggio simile a questo:

Buongiorno, 

La informo che sto per concludere un’importante trattativa riservata con XXX ed è di fondamentale importanza finalizzare un’operazione finanziaria. Pertanto le chiedo di effettuare il pagamento della somma di 10.000,00 euro, contattando l’ufficio finanziario dell’azienda per la comunicazione delle coordinate bancarie del conto, includendo nel messaggio il riferimento.

Contando sulla sua capacità e professionalità, le raccomando il segreto d’ufficio per il buon esito della trattativa. 

La saluto cordialmente

Se molti lettori in questo momento si stanno chiedendo: ma come è possibile? Chi potrebbe mai cadere in questo tranello?
Vi assicuriamo che questo genere di minaccia coinvolge ogni anno decine di vittime.

Se il capo chiede qualcosa, devi farlo bene e il prima possibile.

Questa verità sta al di sopra di qualsiasi altro preconcetto. Gli hacker lo sanno bene, ed è per questo motivo che il testo dell’e-mail è così diretto e sfacciato. L’utente viene di messo di fronte ad una scelta: fare immediatamente quello che c’è scritto nell’email o prendere tempo per verificare la veridicità del messaggio. Se il messaggio fosse vero e non avete fatto quanto richiesto?

La pressione psicologica che questo genere di minacce comporta è davvero imponente.

Tenete conto che la CEO Fraud non sempre presuppone richieste di denaro: al contrario, saltuariamente capita che l’hacker richieda di compilare un form, un sondaggio online o che richieda l’accesso ad aree riservate di un software gestionale: il tutto sempre nascondendosi dietro l’identità del finto imprenditore.

Già di per sé è estremamente frustrante disobbedire ad un ordine, pensate quando disobbediamo una seconda volta. La truffa CEO fa leva sulla vostra emotività: paura, ansia, senso del dovere, urgenza e senso di responsabilità. L’hacker ci chiede di essere capaci e professionali: se non eseguiamo quanto richiesto, questi due valori potrebbero essere messi in discussione.

Il contenuto del messaggio e il tono del nostro interlocutore sono veramente la chiave di volta grazie alla quali gli utenti non si accorgono di venire truffati.

La chiave di volta.

Non sarà possibile per l’utente verificare che il messaggio sia veramente del nostro CEO o si tratti di phishing e-mail. Anche qui, l’utente viene inconsapevolmente messo sotto pressione dall’hacker: se dovesse scoprire che il messaggio è vero?

Per rendere la truffa ancora più realistica, gli hacker non si fermano all’invio dell’e-mail: possono passare persino alle telefonate.

La telefonata è quasi sempre da parte del finto amministratore delegato o persino da parte del finto direttore finanziario di una filiale estera: c’è stato un problema e purtroppo nei prossimi minuti il loro numero di telefono sarà irraggiungibile, c’è bisogno di un bonifico urgente.

8.000 euro a questo Iban, entro pochi minuti. 

Questo è uno degli episodi che si è verificato di recente in un’azienda di Treviso.

Il vero amministratore delegato è stato monitorato per mesi sui social network dagli hacker: LinkedIn e Facebook i principali canali di monitoraggio delle attività degli amministratori delegati. In occasione di una delle sue trasferte, gli hacker hanno messo appunto l’attacco: che è andato a buon fine.

Per mettere in campo la truffa del CEO sono necessarie competenze di un hacker esperto e particolarmente concentrato sulle sue vittime: le aziende colpite da la Truffa CEO non sono scelte a caso. Queste truffe via e-mail sfruttano tecniche di ingegneria sociale e per riuscire a nell’intento di arrivare agli indirizzi e-mail di CEO, amministratori delegati o proprietari di azienda ricorrono a tre diverse strade:

• spoofing email
• forzano le credenziali e-mail tramite Business Email Compromise (o BEC)
• intercettano traffici di posta (attacco mail in the mail)

L’Italia sembra essere il secondo paese al mondo più colpito dalla Truffa CEO (preceduta dagli Stati Uniti e seguita da Australia e Regno Unito) e i dati parlano chiaro. All’aumentare dell’emergenza Covid-19 e dello smart-working dei dipendenti delle aziende, anche la truffa CEO ha trovato il suo posticino tra le truffe phishing da Corona virus.

Oltre 400 aziende vengono prese di mira ogni giorni dalla minaccia e una di queste l’abbiamo incontrata anche noi.

Come è potuto succedere che un’azienda sia stata colpita dalla truffa email?

Una nota azienda mantovana rischia di perdere una cospicua somma di denaro a causa della truffa CEO. Abbiamo sfiorato la tragedia.

Il direttore amministrativo della azienda meccanica mantovana ha ricevuto un’e-mail da parte del finto amministratore delegato in cui viene chiesto di versare una somma di denaro ad un fornitore dell’azienda in previsione dell’arrivo di nuovi materiali. La richiesta proseguiva specificando che era necessario tenere segreta la transazione fino a quando non sarebbe arrivata la conferma di avvenuto pagamento.

Il direttore insospettito dalla natura della domanda e dal tono del messaggio ha subito chiamato l’amministratore delegato dell’azienda, che sin dal primo momento si è detto all’oscuro della richiesta.

L’azienda ha poi provveduto a chiamare il reparto tecnico di Onorato Informatica per verificare la presenza di infezioni in rete, mettere in sicurezza il servizio di posta elettronica e per pianificare la formazione cyber security per i dipendenti.

In questo caso, i dipendenti sono stati in grado di riconoscere autonomamente la truffa via e-mail. Tuttavia, a livello mondiale la CEO Fraud ha consentito di sottrarre alle proprie vittime oltre 3 miliardi di dollari.

La CEO Fraud si sviluppa nell’arco di pochi minuti, in pochi riescono a rendersi conto di quello che accade durante il corso della truffa. Come potete comportarvi se ricevete un’email contenente un messaggio simile a quello che avete visto in questo articolo?

• Verificare la veridicità del messaggio e-mail. Fatelo sempre e comunque se si tratta di richieste di denaro o dati sensibili. Vi consigliamo di prendere il telefono in mano e chiamare direttamente il vostro CEO o il vostro superiore.

• Una volta stabilito che si tratta di una truffa semplicemente mettete in quarantena il messaggio e segnalate la truffa ai vostri superiori.

• Riferire alle autorità quanto prima di quanto accaduto; anche se purtroppo non verrà risolta la questione.

• Se non l’avete ancora fatto, contattate quanto prima un azienda di sicurezza informatica per mettere in sicurezza le e-mail.

Questo genere di truffe sono uniche nel loro genere. Nel caso in cui uno degli utenti dovesse cadere nel tranello dell’hacker ed effettuare il versamento di denaro, l’azienda perderebbe i soldi. Non esiste purtroppo nessuna banca o gruppo finanziario che potrebbe risarcire il danno.

Per essere preparati a questo genere di eventi dovete indubbiamente pensare di tutelare sia il vettore umano che il vettore tecnologico.

• Fare cultura cyber risk all’interno dell’azienda: approfittatene al rientro dalle vacanze pianificando un buon corso sui consigli cyber security. In questo modo i vostri dipendenti potranno diventare più diffidenti e soprattutto, prenderanno coscienza dei rischi che stanno correndo.

• Per quanto riguarda il vettore tecnologico, il nostro consiglio è sempre quello: affidate la gestione della sicurezza tecnologica ad un’azienda specializzata.

Chi è Onorato Informatica siamo? Siamo un SOC Italiano da oltre 15 anni.

Onorato Informatica è un’azienda specializzata in sicurezza informatica per aziende dal 2006. Siamo un’azienda di sicurezza certificata ISO 9001 e ISO 27001. La nostra attività cyber security nasce e cresce nelle nostre sedi di: Mantova, Parma, Milano e Los Angeles.

Se vuoi proteggere la tua azienda da hacker e virus, contattaci.