Il CEO Fraud è un metodo di attacco di Social Engineering rientra in una categoria di truffe via e-mail che è originata dalla violazione della casella di posta elettronica di una o più figure aziendali con potere di firma, come titolari d’azienda o manager.

A esser prese di mira non sono necessariamente aziende importanti e famose, al contrario, spesso le aziende attaccate sono le piccole-medie imprese.

Tra gli esperti del settore, questo attacco informatico viene indicato con il termine BEC ovvero Business Email Compromise

 

Come funziona la CEO Fraud?

Possiamo assolutamente dire che l’attacco di CEO Fraud è un’azione di Social Engineering mirata.

Molto spesso, infatti, l’attacco viene preceduto da una fase di studio dell’azienda: del suo organigramma, dei rapporti professionali e personali tra le persone chiave. Persino i profili social degli utenti vengono studiati.

Le fasi si attacco BEC prevedono la compromissione della casella di posta elettronica della vittima con il cybercriminale che ne spia le conversazioni. A volte non manca nemmeno una preliminare attività di comunicazione diretta (es. via e-mail personale) con la vittima stessa, in modo da rafforzare il rapporto di fiducia tra le parti. Normalmente, il cybercriminale comunica esclusivamente via e-mail.

Dopo averle studiate, l’hacker si sostituisce al mittente (solitamente un alto dirigente dell’azienda), ordinando ad un collaboratore (ovvero, la seconda vittima) di effettuare un versamento su un conto corrente estero. Il contenuto ha un tono di urgenza e riservatezza, avvallando motivi che possono risultare assolutamente credibili come, ad esempio, la necessità di chiudere un affare prima che la concorrenza ne venga a conoscenza.

Può anche succedere che l’hacker, anziché chiedere un trasferimento di denaro, chieda di:

  • Farsi trasmettere una password per avere accesso a dati riservati;
  • Farsi inviare le credenziali per avere accesso all’infrastruttura informatica aziendale;
  • Chiedere ai tecnici di cambiare la sua password esistente con una nuova di sua scelta;
  • Farsi trasmettere documenti riservati;

 

Le varianti della CEO Fraud?

Una variante di Truffa del CEO prevede che l’hacker impersoni un fornitore dell’azienda, chiedendo che alcune fatture (reali o false) gli vengano pagate non sul solito IBAN bensì su uno nuovo, generalmente estero. Ciò che spesso trae in inganno l’utente è che la richiesta arriva, sempre via mail, su carta intestata del “vero” fornitore.

Una variante – che non fa propriamente parte della Business Email Compromise (BCE) ma è sicuramente classificabile come CEO Fraud – comprende l’uso della chiamata telefonica. Riportiamo un esempio realmente accaduto: il CEO di un’azienda riceve una telefonata dal suo Presidente. Quest’ultimo ordina che vengano urgentemente trasferiti 220.000 euro su un conto ungherese. La conversazione avviene tramite telefono. Il dirigente che si trova dall’altro capo del telefono riconosce limpidamente il timbro di voce, l’accento e la cantilena del suo capo. La voce, però, non era del vero amministratore delegato bensì si trattava di una voce registrata con tecniche di Intelligenza Artificiale (AI) e Deep Learning che hanno consentito di riprodurre fedelmente la voce e il timbro vocale del Presidente.

Le tecniche di deepfake sono già da qualche tempo applicate per contraffare in modo perfetto foto e video, ma usare l’AI per simulare la voce di qualcuno (voice deepfake) è davvero l’ultima frontiera delle truffe.

 

Come difendersi dalla CEO Fraud

La prima regola è sempre la stessa: TENERE ALTA L’ATTENZIONE!

Gli Americani hanno coniato un termine esemplificativo: “PEBKAC” ovvero “Problem Exists Between Keyboard And Chair. In buona sostanza, parlando di truffe online o truffa del CEO, il punto debole principale è costituito dal fattore umano. La prima cosa da fare è chiedersi se la richiesta ricevuta rientra nella normalità e nelle prassi aziendali standard.

Quindi, nel caso delle CEO Fraud, la prima azione preventiva deve essere la verifica di quanto ricevuto. Importante che questa verifica venga fatta con mezzi diversi da quelli utilizzati dall’hacker (quindi non email, ma telefonata o SMS o WhatsApp). In nessuno dei casi di dominio pubblico, gli utenti hanno verificato la fonte del messaggio e la veridicità delle richieste.

 

Inoltre, per qualsiasi azienda, le migliori soluzioni da implementare sono:

  • Una solida e definita politica aziendale che descriva e verifichi periodicamente le modalità operative connesse all’esecuzione di un trasferimento di denaro.
  • L’implementazione di una conoscenza aziendale sulla Cybersecurity (Security Awareness).

Qualsiasi truffa via e-mail può essere combattuta attraverso la diffusione della cultura sulla sicurezza informatica. Laddove l’uomo non riesce ad arrivare, si ricorre al supporto che la tecnologia ci mette a disposizione:

  • Software di posta elettronica sicuri e aggiornati;
  • Sistemi antispam di ultima generazione;
  • Un completo sistema di protezione della rete informatica dell’azienda.
  • Un servizio di analisi delle vulnerabilità di sicurezza presenti nel sistema informatico (Vulnerability Assessment) continuativo e puntuale.

 

Non devi fare tutto da solo

I nostri specialisti sono a tua disposizione per approfondimenti o per una consulenza. Manda una mail a: ITsolution@asystelitalia.it

—————————-

Seguici sulla pagina LinkedIn ufficiale: linkedin-asystelitalia

————-

Informativa ai sensi dell’art. 13 del Regolamento (UE) 2016/679

Ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (GDPR), La informiamo che i Suoi dati personali, da Lei liberamente conferiti, saranno trattati da Asystel Italia S.p.A., prevalentemente con mezzi informatici, al fine di: a) dar seguito alla Sua richiesta di ottenere maggiori informazioni relativamente ai nostri prodotti/servizi; b) – previo Suo consenso - per inviarle la nostra newsletter e/o invitarla ad eventi da noi organizzati. La base giuridica per il perseguimento della finalità indicata al punto a) è l’esecuzione di misure precontrattuali adottate su richiesta dell’interessato; la base giuridica per il perseguimento della finalità indicata al punto b è il consenso dell’interessato. Il conferimento dei Suoi dati personali è libero, tuttavia il mancato conferimento dei dati contrassegnati con * ci impedirà di riscontrare la sua richiesta. Qualora decida di fornirci i Suoi dati, la informiamo che questi saranno trattati da personale autorizzato ai sensi dell’articolo 29 del GDPR. I suoi dati saranno conservati esclusivamente per il tempo necessario ad adempiere alla sua richiesta e in caso di consenso all’invio delle newsletter e/o inviti ad eventi fino alla revoca dello stesso. In nessun caso i suoi dati saranno diffusi ma la informiamo che potranno essere comunicati a terzi soggetti che svolgono, per conto del Titolare stesso, specifici servizi volti a garantirle il corretto perseguimento delle citate finalità (ad es. per esigenze di manutenzione tecnologica del sito) i cui nominativi sono disponibili su richiesta dell’interessati. I Suoi dati non saranno diffusi né trasferiti all’estero. In relazione al trattamento dei predetti dati, Le ricordiamo il diritto di ottenere, senza ritardo, a cura del titolare del trattamento l'accesso ai dati personali che la riguardano, la rettifica dei dati (correzione di dati inesatti od integrazione), la cancellazione dei dati stessi o la limitazione del trattamento o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati. Le ricordiamo altresì il diritto di revocare il consenso in qualsiasi momento. Per esercitare tali diritti può rivolgersi al Titolare del trattamento Asystel Italia S.p.A., Via Varesina, 162 – 20156 Milano. Le è altresì riconosciuto il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali. La Società ha nominato un Responsabile della Protezione dei Dati raggiungibile al seguente indirizzo: dpo.asystelitalia@asystelitalia.it

 

Per maggiori informazioni nonché per quanto concerne le “Privacy & Cookies” policy del sito si rinvia alle sezioni “Privacy Policy” e “Cookie Policy”.

Informativa ai sensi dell’art. 13 del Regolamento (UE) 2016/679

Ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (GDPR) la informiamo che i Suoi dati personali saranno trattati da Asystel Italia S.p.A, Titolare del trattamento, prevalentemente con mezzi informatici, per le attività di reclutamento e selezione del personale e saranno utilizzati esclusivamente per ricontattarla e pianificare un primo colloquio. Ai sensi dell’art. 6 del Regolamento (UE) 2016/679, la base giuridica per il perseguimento della finalità indicata è l’esecuzione di misure precontrattuali al fine di valutare la Sua candidatura. I Suoi dati verranno trattati da personale autorizzato ai sensi dell’articolo 29 del GDPR. Le modalità del trattamento potranno altresì essere telefoniche o telematiche. I Suoi dati potranno essere altresì trattati per conto della Società da terze aziende, enti o professionisti che, in qualità di Responsabili del trattamento in outsourcing, svolgono specifici servizi elaborativi o attività complementari alle nostre i cui nominativi sono disponibili su richiesta dell’interessato (ad es. per esigenze di manutenzione tecnologica del sito). I suoi dati non saranno in alcun modo diffusi e non saranno trasferiti all’estero. Qualora la selezione non andasse a buon fine i Suoi dati personali saranno conservati per un periodo di tempo limitato e comunque non superiore all’anno solare successivo a quello di ricezione. Il conferimento dei dati è libero tuttavia il mancato conferimento non permetterà alla nostra Società di svolgere le attività necessarie per la selezione del personale.

In relazione al trattamento dei predetti dati, Le ricordiamo il diritto di ottenere, senza ritardo, a cura del titolare del trattamento l'accesso ai dati personali che la riguardano, la rettifica dei dati (correzione di dati inesatti od integrazione), la cancellazione dei dati stessi o la limitazione del trattamento o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati. Per esercitare tali diritti può rivolgersi al Titolare del trattamento Asystel Italia S.p.A., Via Varesina, 162 – 20156 Milano. Le è altresì riconosciuto il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali. La Società ha nominato un Responsabile della Protezione dei Dati raggiungibile al seguente indirizzo: dpo.asystelitalia@asystelitalia.it

 

Per maggiori informazioni nonché per quanto concerne le “Privacy & Cookies” policy del sito si rinvia alle sezioni “Privacy Policy” e “Cookie Policy”.