La truffa in questione è denominata Bec (business email compromise) e gira già da parecchio tempo soprattutto negli Stati Uniti. La cosa preoccupante è che negli ultimi mesi si sta diffondendo molto anche in Italia. A questo punto cerchiamo di capire come funziona e come difenderci.
Iniziamo dicendo che per questa truffa le vittime preferite sono le aziende e in particolare quei dipendenti o dirigenti che effettuano bonifici. Lo schema è semplice, io fornitore mando una fattura ad un mio cliente con l’Iban per effettuare il pagamento. A questo punto qualcuno… il “man in the middle” o meglio il “man in the mail” intercetterà in qualche modo (poi spiegheremo come) questa email e modificherà solo il codice Iban. Così il malcapitato convinto di pagare un suo fornitore pagherà invece il cybercriminale.
Capirete quanto può essere insidiosa questa pratica. Sfruttando il fatto che molti di noi si affidano alle e-mail per condurre gli affari, sia personali che professionali, questa truffa è al momento uno dei crimini online più dannosi dal punto di vista finanziario.
Tanto per farvi capire la portata di questa truffa una nota del Federal Bureau of Investigation (Fbi) indica che 26 miliardi di dollari sono stati persi a causa della compromissione delle e-mail aziendali (Bec) tra giugno 2016 e luglio 2019.
Vi starete chiedendo ma come fanno? Iniziamo dicendo che molto si basa sulla cosiddetta social engineering. Una serie di tecniche rivolte a spingere le persone a fornire informazioni personali come password, dati bancari, accesso a computer… Perché, come è noto, quasi sempre l’anello debole della catena di sicurezza è rappresentato proprio dagli esseri umani.
Dopo aver individuato e selezionato la posta elettronica di un’azienda (spesso tramite phishing), i malintenzionati iniziano a studiare le comunicazioni. Stile delle email inviate, firme, carte intestate… Dopo questa fase di “spionaggio”, i cyber criminali saranno in grado d’inserirsi nella corrispondenza in corso tra cliente e fornitore. A questo punto per loro non sarà un problema inviare fatture praticamente identiche a quelle del fornitore con il solo Iban modificato. Così i pagamenti saranno dirottati sul conto corrente del criminale e passeranno giorni prima che cliente e fornitore possano accorgersi dell’accaduto. Spesso troppo tardi…
Come difendersi da questa truffa
Ci sono alcune buone pratiche che possono aiutarci a non “regalare” le nostre credenziali ad l’Hacker di turno. Oltre ai consigli scontati di utilizzare antivirus aggiornati e password robuste, diverse per ogni servizio utilizzato dovete fare molta attenzione a:
- Sei uno di quelli che mette date di nascita, nomi dei figli nelle password? Ecco allo fai molta attenzione alle informazioni che condividi online o sui social media. Condividendo apertamente cose come nomi di animali domestici, scuole che hai frequentato, link a membri della famiglia e il tuo compleanno, puoi dare a un truffatore tutte le informazioni di cui ha bisogno per indovinare la tua password o rispondere alle tue domande di sicurezza per entrare nelle tue caselle ti posta elettronica
- Hai il click facile? Non cliccare su nulla in un’e-mail dove ti viene richiesto di aggiornare o verificare le informazioni del tuo account. Cerca il numero di telefono dell’azienda che ha inviato questo link per conto tuo (non usare quello fornito da un potenziale truffatore) e chiama l’azienda per chiedere se la richiesta è legittima.
- Esamina attentamente l’indirizzo e-mail, l’indirizzo e l’ortografia utilizzati nella corrispondenza. I truffatori usano piccole differenze per ingannarti. Un link https://www.poste.it potrebbe diventare https://poste.qualcosa.it e non è la stessa cosa!!!
- Sii particolarmente prudente se il richiedente ti fa pressione per agire rapidamente.
REGOLA DELLE REGOLE:
Verificare sempre le richieste di pagamento (Iban) di persona, se possibile, o chiamando il fornitore per assicurarti che i dati siano giusti.