Intervista sul Corriere Romagna (24/09/2019)

Sono stato intervistato dal Corriere Romagna sul tema attualissimo della truffe informatiche note come “Business Email Compromise” (BEC) che anche in questi giorni hanno colpito a Forlì, con una frequenza sempre più preoccupante.

Sulla Business Email Compromise si possono trovare approfondimenti negli articoli che ho scritto per Cybersecurity360 e per ICT Security Magazine, ma vediamo qui in sintesi di cosa si tratta e perché sta mietendo tante vittime nelle aziende.

Oggi la maggior parte delle truffe informatiche sono realizzate utilizzando l’email, uno strumento diffuso ma con quale risulta molto facile applicare le tecniche del Social Engineering ed il phishing. Ma la truffa che oggi sta mietendo più vittime (soprattutto in termini economici!) è, appunto la Business Email Compromise (BEC).

La BEC si declina in diverse varianti, tutte comunque finalizzate a rubare denaro. Le modalità più frequentemente utilizzate sono:

  • Business tra cliente e fornitore: richiesta di pagamento con e-mail falsificata, utilizzando spesso anche il logo e la ragione sociale dell’azienda da colpire. Viene definita “The Man in the Mail” e anche “Bogus Invoice Scheme”.
  • “CEO Fraud” o “Business Executive Scam”: una richiesta di bonifico bancario viene inviata dall’account compromesso di un dirigente aziendale di alto livello (CEO o Chief Financial Officer) a un dipendente dell’azienda, che è in genere preposto ad eseguire i pagamenti. È una variante di phishing definita anche “whaling” (la pesca della balena), perché punta al “pesce grosso”.

Con queste tecniche, in pratica, l’attaccante (ma sarebbe più corretto definirlo “il truffatore”) riesce a far in modo che un pagamento venga dirottato sul suo conto.

Ed una volta che il denaro è finito sul conto del truffatore, viene fatto rapidamente sparire, rendendo quasi sempre impossibile il suo recupero.

La modalità del raggiro ha le caratteristiche di una truffa classica, dove la tecnologia è soltanto un mezzo nuovo per portare a termine raggiri vecchi. Ed utilizza il basso livello di sicurezza della posta elettronica.

L’email non è che una delle molte modalità di utilizzo di Internet. È stata una delle prime, creata alla nascita di Internet, e proprio in questo risiede la sua intrinseca debolezza.

Questo rende molto facile falsificare il mittente di un’email, con una tecnica che si chiama “spoofing” e che non richiede competenze informatiche particolarmente elevate.

Ma l’elemento che rende così frequente ed efficace la truffa BEC è – come sempre – il fattore umano: se chi riceve queste email ingannatrici (in genere chi opera nell’amministrazione delle aziende) non conosce l’esistenza di questa truffa, ben difficilmente saprà riconoscerla. In fondo, è normale ricevere da un proprio fornitore una comunicazione che segnala “il cambio della banca su cui fare i pagamenti”. Oggi però queste comunicazioni devono essere trattate con un’attenzione diversa e prevedere sempre – come procedura aziendale – la verifica con altri e diversi canali di comunicazione (per esempio una telefonata!).

È evidente quindi – più che mai – l’importanza della formazione per dare a chi in azienda opera con gli strumenti informatici la consapevolezza (awareness) dei rischi, per poterli evitare.

Vediamo in conclusione qual è la dimensione del fenomeno a livello mondiale.

Un importante rapporto redatto dal Federal Bureau of Investigation (la ben nota FBI) del 4 maggio 2017 ci evidenzia che le truffe BEC sono state segnalate in oltre cento Paesi e hanno fatto registrare nel periodo tra ottobre 2013 e dicembre 2016 perdite di denaro nelle aziende pari a 5,3 miliardi di dollari.

L’ultimo aggiornamento del Rapporto FBI sulla BEC è uscito il 12 luglio 2018: il totale delle perdite è salito all’astronomica cifra di 12.536.948.299 USD (nel periodo tra ottobre 2013 e maggio 2018). Confrontando i due rapporti scopriamo che in meno di un anno e mezzo (da dicembre 2016 a maggio 2018) sono stati persi per la BEC altri 7,2 miliardi di dollari, con un aumento del 2.200% tra il 2015 ed il 2017 e un picco massimo nel settembre 2017, con oltre 18 milioni di dollari persi in un solo mese. Tra le vittime aziende di ogni dimensione, dalle PMI alle multinazionali.

Nessuno dunque può sentirsi al riparo e permettersi di pensare “tanto a me non può succedere”. Nella Cybersecurity la sottovalutazione del rischio può essere un errore imperdonabile!

Qui il testo completo dell’intervista sul Corriere Romagna.


© Copyright 2019 Giorgio Sbaraglia
All rights reserved.

Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.

Lascia un commento