Il CEO Fraud è un metodo di attacco di Social Engineering rientra in una categoria di truffe via e-mail che è originata dalla violazione della casella di posta elettronica di una o più figure aziendali con potere di firma, come titolari d’azienda o manager.
A esser prese di mira non sono necessariamente aziende importanti e famose, al contrario, spesso le aziende attaccate sono le piccole-medie imprese.
Tra gli esperti del settore, questo attacco informatico viene indicato con il termine BEC ovvero Business Email Compromise
Come funziona la CEO Fraud?
Possiamo assolutamente dire che l’attacco di CEO Fraud è un’azione di Social Engineering mirata.
Molto spesso, infatti, l’attacco viene preceduto da una fase di studio dell’azienda: del suo organigramma, dei rapporti professionali e personali tra le persone chiave. Persino i profili social degli utenti vengono studiati.
Le fasi si attacco BEC prevedono la compromissione della casella di posta elettronica della vittima con il cybercriminale che ne spia le conversazioni. A volte non manca nemmeno una preliminare attività di comunicazione diretta (es. via e-mail personale) con la vittima stessa, in modo da rafforzare il rapporto di fiducia tra le parti. Normalmente, il cybercriminale comunica esclusivamente via e-mail.
Dopo averle studiate, l’hacker si sostituisce al mittente (solitamente un alto dirigente dell’azienda), ordinando ad un collaboratore (ovvero, la seconda vittima) di effettuare un versamento su un conto corrente estero. Il contenuto ha un tono di urgenza e riservatezza, avvallando motivi che possono risultare assolutamente credibili come, ad esempio, la necessità di chiudere un affare prima che la concorrenza ne venga a conoscenza.
Può anche succedere che l’hacker, anziché chiedere un trasferimento di denaro, chieda di:
- Farsi trasmettere una password per avere accesso a dati riservati;
- Farsi inviare le credenziali per avere accesso all’infrastruttura informatica aziendale;
- Chiedere ai tecnici di cambiare la sua password esistente con una nuova di sua scelta;
- Farsi trasmettere documenti riservati;
Le varianti della CEO Fraud?
Una variante di Truffa del CEO prevede che l’hacker impersoni un fornitore dell’azienda, chiedendo che alcune fatture (reali o false) gli vengano pagate non sul solito IBAN bensì su uno nuovo, generalmente estero. Ciò che spesso trae in inganno l’utente è che la richiesta arriva, sempre via mail, su carta intestata del “vero” fornitore.
Una variante – che non fa propriamente parte della Business Email Compromise (BCE) ma è sicuramente classificabile come CEO Fraud – comprende l’uso della chiamata telefonica. Riportiamo un esempio realmente accaduto: il CEO di un’azienda riceve una telefonata dal suo Presidente. Quest’ultimo ordina che vengano urgentemente trasferiti 220.000 euro su un conto ungherese. La conversazione avviene tramite telefono. Il dirigente che si trova dall’altro capo del telefono riconosce limpidamente il timbro di voce, l’accento e la cantilena del suo capo. La voce, però, non era del vero amministratore delegato bensì si trattava di una voce registrata con tecniche di Intelligenza Artificiale (AI) e Deep Learning che hanno consentito di riprodurre fedelmente la voce e il timbro vocale del Presidente.
Le tecniche di deepfake sono già da qualche tempo applicate per contraffare in modo perfetto foto e video, ma usare l’AI per simulare la voce di qualcuno (voice deepfake) è davvero l’ultima frontiera delle truffe.
Come difendersi dalla CEO Fraud
La prima regola è sempre la stessa: TENERE ALTA L’ATTENZIONE!
Gli Americani hanno coniato un termine esemplificativo: “PEBKAC” ovvero “Problem Exists Between Keyboard And Chair”. In buona sostanza, parlando di truffe online o truffa del CEO, il punto debole principale è costituito dal fattore umano. La prima cosa da fare è chiedersi se la richiesta ricevuta rientra nella normalità e nelle prassi aziendali standard.
Quindi, nel caso delle CEO Fraud, la prima azione preventiva deve essere la verifica di quanto ricevuto. Importante che questa verifica venga fatta con mezzi diversi da quelli utilizzati dall’hacker (quindi non email, ma telefonata o SMS o WhatsApp). In nessuno dei casi di dominio pubblico, gli utenti hanno verificato la fonte del messaggio e la veridicità delle richieste.
Inoltre, per qualsiasi azienda, le migliori soluzioni da implementare sono:
- Una solida e definita politica aziendale che descriva e verifichi periodicamente le modalità operative connesse all’esecuzione di un trasferimento di denaro.
- L’implementazione di una conoscenza aziendale sulla Cybersecurity (Security Awareness).
Qualsiasi truffa via e-mail può essere combattuta attraverso la diffusione della cultura sulla sicurezza informatica. Laddove l’uomo non riesce ad arrivare, si ricorre al supporto che la tecnologia ci mette a disposizione:
- Software di posta elettronica sicuri e aggiornati;
- Sistemi antispam di ultima generazione;
- Un completo sistema di protezione della rete informatica dell’azienda.
- Un servizio di analisi delle vulnerabilità di sicurezza presenti nel sistema informatico (Vulnerability Assessment) continuativo e puntuale.
Non devi fare tutto da solo
I nostri specialisti sono a tua disposizione per approfondimenti o per una consulenza. Manda una mail a: ITsolution@asystelitalia.it
—————————-
Seguici sulla pagina LinkedIn ufficiale: linkedin-asystelitalia
————-