Ogni giorno viene inventata una nuova modalità di attacco, da parte di hackers sempre più organizzati. I grandi guadagni sommati al bassissimo rischio di essere scoperti hanno fatto crescere in modo esponenziale l’esercito dei cybercriminali.
Vogliamo qui porre l’attenzione su una truffa informatica che sta colpendo sempre più pesantemente le aziende che praticano import/export.
È la truffa definita “The Man in the Mail”, nota anche come BEC (Business Email Compromise). È basata sul “phishing” (attacco portato con l’uso delle email). Il metodo è tanto semplice quanto efficace: i delinquenti intercettano la posta elettronica di un’azienda (mediante phishing, social engineering, furto delle credenziali o attacco “brute force”, keylogger), ne spiano le comunicazioni, la carta intestata, le firme dei responsabili, lo stile della corrispondenza. Dopo questa fase di “studio”, i cybercriminali sono in grado di inserirsi nello scambio di email in corso tra cliente e fornitore. Per fare questo sfruttano lo “spoofing” (imbrogliare), usando un indirizzo email appena diverso, oppure accedono direttamente all’email violata. Inviano perciò fatture ed email false con le quali riescono a dirottare i pagamenti del cliente su un conto diverso da quello del fornitore: il conto appositamente predisposto da loro!
La Polizia Postale segnala che in Emilia Romagna questa truffa è quella che negli ultimi mesi sta procurando i danni maggiori a molte aziende: si parla di perdite in denaro, per bonifici inviati sul conto “sbagliato”, di decine ed anche centinaia di migliaia di euro per azienda. Proprio in Romagna si è registrato qualche mese fa il caso più eclatante: quasi un milione di euro, che la malcapitata azienda ben difficilmente riuscirà a recuperare, sebbene siano in corso indagine e collaborazioni con la banca – ovviamente estera – coinvolta (incolpevolmente) nella truffa.
Come difendersi? In questo caso ben poco possono fare i tradizionali strumenti software di sicurezza informatica: la truffa utilizza il meccanismo sempre convincente del “social engineering” (sfruttare cioè le debolezze delle persone per carpire la loro buona fede).
Inoltre opera attraverso le Email che sono uno degli strumenti più antiquati e vulnerabili del web. Ancora oggi l’email utilizza SMTP (Simple Mail Transfer Protocol) che è il protocollo standard per la trasmissione via internet delle email. Si tratta di un protocollo testuale, relativamente semplice, creato negli anni ’80 e da allora rimasto sostanzialmente invariato. Tra le molte limitazioni c’è quella che non è in grado di gestire l’autenticazione del mittente. Ciò rende possibile, ed anche abbastanza facile, inviare email falsificando (spoofing) il mittente.
L’unica vera, efficace difesa è la CONSAPEVOLEZZA dei rischi, l’attenzione ai dettagli (sempre in queste email di phishing c’è qualche indizio che dovrebbe farci nascere sospetti).
Alcuni semplici consigli per evitare questa truffa:
- Usare credenziali di accesso alle mail robuste e sicure.
- Impostare una corretta gestione delle password.
- Non utilizzare in azienda indirizzi email gratuiti basati su webmail.
- Controllare periodicamente se sul proprio account di posta sono impostate regole di inoltro della posta verso un altro indirizzo.
- Leggere le mail con attenzione, soprattutto quelle che si riferiscono a pagamenti. Nel dubbio fare verifiche con mezzi diversi (per es. il telefono, oppure un’altra email).
- Controllare bene il mittente delle email: un dettaglio (anche solo una lettera!) potrebbe fare la differenza.
- Usare un sistema di CIFRATURA ed AUTENTICAZIONE delle email (The GNU Privacy Guard, Enigmail, Gpg4win, GPGTools, ecc.). Ne parlo in questo articolo.
- E soprattutto: Evitare di pensare “figurati se una cosa del genere può succedere a me”.
Purtroppo la scarsa conoscenza informatica dei dipendenti delle aziende rende fin troppo facile il lavoro dei cybercriminali. Per questo diventa sempre più importante curare la formazione all’interno delle aziende, un investimento fortemente sottovalutato ma che potrebbe rendere più sicura la nostra vita nel Web.
© Copyright 2016 Giorgio Sbaraglia
All rights reserved.