La cosiddetta truffa del falso CEO è una tipologia di frode informatica creata da organizzazioni criminali ben organizzate che, preventivamente, acquisiscono informazioni sulla società che intendono attaccare, studiandone attività, ruoli e modus operandi.
Una volta in possesso degli argomenti necessari, la truffa si concretizza contattando, con una falsa identità dirigenziale, la persona giusta e nel modo giusto, adducendola, con astuti giochi psicologici, ad effettuare un bonifico bancario urgente.
Ancora una volta, quindi, siamo di fronte ad un attacco informatico che fa leva sull’elemento umano. L’unica difesa possibile, in questi casi, è l’aggiornamento e il miglioramento della consapevolezza della forza lavorativa aziendale: la cosiddetta security awareness.
Indice degli argomenti
Truffa del falso CEO: cenni storici
La truffa del falso Amministratore Delegato è sostanzialmente un’evoluzione di una tradizionale truffa basata sul raggiro, la persuasione e la falsa identità, adesso perfezionata con i nuovi mezzi di comunicazione.
Una delle prime forme di frode finanziaria via mail, salita alla ribalta, è stata la “truffa alla nigeriana” che, apparsa nel 2016 per l’appunto in Nigeria, prometteva alle vittime lauti compensi in cambio di donazioni in favore di un fantomatico principe.
Il fenomeno, comunque presente già da tempo, si è sviluppato nel corso degli anni rappresentando, di fatto, un elevato fattore di rischio per piccole, medie e grandi aziende, con ingenti danni economici e rovinose conseguenze.
Anatomia di un attacco
La metodologia di attacco usata nella truffa del falso CEO è molto subdola e si distingue dallo spamming (che spesso contiene elementi riconoscibili e per i quali aziende e privati tendono ad avere maggiore attenzione), in quanto in questo caso il vettore è una mail di solito senza necessariamente allegati al seguito.
Per rendere lo scenario più credibile e convincente, non è da escludere che l’attaccante tenti anche un eventuale contatto telefonico con le sue vittime.
I truffatori possono spacciarsi per un dirigente, un amministratore delegato della azienda stessa oppure un direttore di un partner societario, che richiede una transazione bancaria urgente, indispensabile per il buon esito di una trattativa o progetto riservato in corso.
Per essere quanto più convincenti possibili, gli elementi su cui gli attaccanti fanno leva sono:
- l’uso dell’autorità;
- l’enfasi dell’urgenza della transazione per il successo dell’operazione riservata;
- la concomitante valorizzazione e pressione psicologica della vittima.
Alla base dell’allestimento di un messaggio convincente da parte di un soggetto impostore c’è l’impersonificazione del mittente che può avvenire secondo varie modalità anche interscambiabili tra loro:
- spoofing dell’indirizzo email per la falsificazione dell’identità dell’indirizzo di posta elettronica;
- compromissione dell’account di posta elettronica (circostanza ancora più grave!) con violazione delle credenziali (Business Email Compromise);
- intercettazione della comunicazione di posta elettronica (Man in the Mail).
Analizziamoli in dettaglio.
Spoofing
Lo spoofing, tecnica impiegata per contraffare indirizzi mail, indirizzi IP o indirizzi DNS, è per l’appunto un tipo di falsificazione tecnologica adoperata, in questo caso, per far credere alla vittima che l’identità del mittente di posta elettronica ed il suo contenuto siano attendibili, mettendo a punto un indirizzo mail uguale o molto simile a quello originale.
Compromissione dell’account di posta elettronica
Purtroppo sono ormai all’ordine del giorno i casi di data breach con i quali vengono violate grandi quantità di dati sensibili e rese pubbliche su database online. Tra i casi più famosi ricordiamo “Collection #1” che ha coinvolto la violazione di milioni di indirizzi mail e password.
Pertanto il rischio che una possibile compromissione di un account di posta (attacco di tipo BEC, Business Email Compromise) avvenga a seguito di tali eventi non è per nulla trascurabile.
Le tecniche più comuni che possono mettere in repentaglio le aziende, rendendole più vulnerabili a compromissioni di questo tipo, sono gli attacchi a forza bruta, il phishing, lo spear phishing e l’ingegneria sociale.
Intercettazione della posta elettronica
Con questa modalità di attacco, un soggetto può intercettare la posta elettronica di un’azienda e fare in modo che i pagamenti finiscano su conti correnti diversi da quelli legittimi, inserendosi in conversazioni eventualmente già in atto, richiamando ordini e fatture realmente eseguiti e producendo documentazione contraffatta con intestazioni e loghi originali.
Le email utilizzate possono contenere anche allegati armati con payload opportunamente programmati, per impossessarsi di ulteriori contatti e credenziali di altri servizi.
Per mettere in atto il Man in the Mail, gli attaccanti devono disporre di un consistente bagaglio informativo sul target da colpire, informazioni che possono essere ricavate da attività di spionaggio interne alla società, da consultazioni di fonti liberamente accessibili oppure per il tramite di accurate pratiche di ingegneria sociale.
Truffa del falso CEO: analisi di un messaggio malevolo
Lo scenario tipico è il seguente:
- L’attaccante dopo uno studio preventivo volto a scoprire iter e ruoli aziendali e qualsiasi altra informazione utile, passa all’attacco impersonando una figura responsabile d’azienda ed inviando una falsa mail all’operatore contabile per il versamento di un bonifico.
- Il testo della mail in esame presenta degli elementi chiave che nel loro insieme producono un messaggio capace di indurre la vittima “inconsapevole” a compiere l’azione voluta dal criminale. Di seguito si evidenziano alcuni stralci dello scritto che, in un determinato contesto, possono portare alla persuasione dell’interlocutore, riuscendo a suscitare in esso l’approvazione di ciò che sta leggendo.
Come salvaguardarsi dallo spoofing
La reale minaccia rappresentata dall’impersonificazione del mittente di una email, sfrutta essenzialmente un limite legato:
- alla mancata gestione dell’autenticazione da parte del protocollo standard SMTP, deputato al trasferimento della posta elettronica;
- alla caratteristica, comune a tutti i client di posta elettronica, di mostrare solitamente come intestazione dei messaggi solo il nome del mittente.
Questi due fattori fanno sì che l’identità di colui che realmente spedisce possa essere camuffata attraverso degli alias ingannevoli.
Per cercare una verifica d’identità ed escludere un raggiro, è importante visualizzare le intestazioni complete della mail ricevuta. Queste informazioni si possono avere sia nel caso si utilizzi un client di posta che un servizio webmail, andando a cercare tra le proprietà o le opzioni del messaggio una voce di menu del tipo Visualizza intestazioni, Mostra dettagli o Leggi header.
Nel dubbio, è comunque sempre consigliabile far analizzare le intestazioni (visibili e nascoste) dallo sguardo più attento di un esperto.
Come scoprire se la mail è stata violata
Nel caso in cui la mail truffa sia stata inviata dalla casella originale e non da un indirizzo contraffatto, siamo di fronte ad un evento di violazione dell’account e non semplicemente di un “email spoofing”.
Per scoprire in tempo se ci possa essere il rischio di tale evenienza, prima che sia troppo tardi per porvi rimedio, esistono online appositi siti e strumenti che grazie all’analisi dei numerosi casi noti e censiti a livello globale, riescono a stabilire (sempre con il beneficio del dubbio!) se un indirizzo mail sia stato oggetto o meno di violazione in passato.
Tra le varie possibilità offerte dal web si possono annoverare alcuni servizi:
Cosa fare per difendersi dalla truffa del falso CEO
Per contrastare la truffa del falso CEO e l’eventualità che criminali possano compromettere l’account e-mail aziendale inficiandone l’identità digitale e carpendone contatti sensibili, risulta imprescindibile:
- disporre di politiche e protocolli per la gestione delle email in generale e in particolare di quelle che richiedono bonifici e altre informazioni sensibili (procedura antifrode interna);
- prevedere procedure di feedback per la verifica dei mittenti;
- coinvolgere nel piano di gestione di controllo tutta la dirigenza societaria;
- formare il personale di ogni ordine e grado, informando sulle tipologie di frode possibili e sensibilizzando sui reali fattori di rischio;
- adoperare password forti o ancora meglio delle stringe alfanumeriche (passphrase), modificandole periodicamente, per contrastare attacchi brute force o basati sui dizionari;
- prendere in considerazione la possibilità di adottare tecniche di autenticazione multi fattore.
