Sicurezza informatica: i rischi della truffa del fake ceo

2 Aprile 2019, di Redazione Wall Street Italia

di Daniela La Cava

Come fare per non cadere nella truffa del fake ceo? Ecco il decalogo di Kroll

Una delle frodi della rete che ha fatto il giro del mondo in diverse varianti è ‘la truffa alla nigeriana’. Le prime versioni online iniziano a circolare nel 1994, con l’invio di una mail che ha come protagonista una persona molto ricca che deve far transitare del denaro all’estero. Per farlo con la massima discrezione necessita di un prestanome che compia la transazione per conto suo, chiedendo un anticipo e promettendo una ricompensa. Una mail ben scritta, preparata ad hoc da criminali cyber con l’intento di rubare denaro e sottrarre l’identità.

Come si è evoluta la situazione negli anni? Le tecniche di phishing, ma anche quelle dello spear phishing (ovvero una tipologia di phishing che prende di mira una persona o un dipendente di una determinata società) si sono affinate sempre più, rendendo le aziende più vulnerabili ed esposte a tutti i rischi e costi che comporta un attacco cyber.

Con Marianna Vintiadis, managing director e responsabile Kroll – una società americana che fornisce servizi di business intelligence e investigazioni su scala globale – per il Sud Europa, ci siamo soffermati sulla frode del cosiddetto ‘fake ceo’ (il finto amministratore delegato), sul perché il problema persiste ancora e su quali possono essere le azioni per non cadere in questa trappola.

«Tutti abbiamo ricevuto la mail del principe nigeriano che ci offre l’eredità in cambio di un piccolo anticipo. Il fake ceo nasce proprio da qui»,

racconta a Wall Street Italia Vintiadis.

Un attacco sempre più mirato

Il punto di partenza è che le tecniche di phishing stanno diventando sempre più sofisticate, e per certi versi più subdole: le mail sono studiate a tavolino, sempre più personalizzate e credibili agli occhi dell’ignaro ricevente.

«Con lo spear phishing la questione diventa ancora più delicata”,

afferma Vintiadis spiegando che

“molto spesso chi invia questo tipo di comunicazioni sa già qualcosa sull’ignara vittima, magari ha passato al setaccio i profili social a caccia di informazioni personali. Questo rende ogni riferimento più preciso, e soprattutto più credibile».

Nel caso del “fake ceo” bisogna considerare due differenti modalità di azione: spingere un dipendente a fare un pagamento o carpirne le credenziali di accesso. Una prima categoria che si basa esclusivamente su quello che può essere definito un bluff, dove la componente cyber è limitata (tutto avviene praticamente tramite una telefonata). Nella seconda categoria, gli attacchi sono più sofisticati e contengono una compromissione dei sistemi aziendali, e non solo il furto di una somma di denaro. Più nel dettaglio, nel primo caso il punto di partenza è identificare l’azienda e poi cercare ogni riferimento sul ceo. Il passo successivo è quello di fare una telefonata a un dipendente lontano dalla sede (di solito una filiale, magari all’estero) a cui si chiede un pagamento. L’imperativo è fare fretta, lasciando poco tempo di riflettere. Tipicamente la formula che viene utilizzata è questa:

«Sono il tuo a.d., sto chiudendo un’importante operazione per il nostro gruppo e mi manca un milione, dieci milioni»,

spiega Vintiadis, suggerendo che le cifre sono in ogni caso pensate sulla base delle dimensioni dell’azienda.

Un astuto gioco psicologico

Giocano soprattutto sul fatto di mettere sotto pressione la persona, puntando sul fatto che la chiamata arriva dal ‘gran capo’.

«Nella maggior parte dei casi si procede al pagamento – affermano da Kroll -. Solo qualcuno chiede la conferma scritta, e in quel momento scatta la componente cyber».

Il secondo caso, quello più sofisticato e in cui la posta in gioco è più elevata, si concretizza, invece, con l’accesso nella mail.

«Entrando nel sistema si impadronisce della casella di posta del ceo – spiega Vintiadis -. Quando il contabile riceve la richiesta di pagamento, chi risponde non è la persona reale della mail».

E in questo caso bisogna correre ai ripari sui sistemi per evitare la compromissione cyber.

Ma perché l’Italia è vulnerabile?

Questione di attitudine. Vintiadis ricorda che le multinazionali seguono delle prassi rigide sulla gestione dei pagamenti e quasi mai una singola persona può autorizzare un pagamento e al tempo stesso gestire la procedura bancaria. Ma alle volte non basta. Per evitare che queste situazioni proliferino bisogna agire sul comportamento dei dipendenti. C’è un problema, che in Italia trova terreno fertile: ovvero l’ordine del capo è l’ordine del capo, un imperativo che per il dipendente vale più di qualsiasi regolamento.

«Il paradosso è che l’Italia in termini di deleghe è più equipaggiata rispetto ad altri Paesi. Gli strumenti ci sono, ma la sudditanza è un elemento che prevarica»,

sottolinea Vintiadis. In Italia la truffa del ‘falso a.d.’ è in forte aumento e per rendere l’idea Vintiadis dichiara:

«Se prima vedevamo un caso all’anno, al massimo due, adesso ne vediamo anche uno alla settimana».

L’intervento di Kroll

Viene chiamata quando la questione è già scoppiata. Il primo consiglio di Marianna Vintiadis è agire in maniera tempestiva, nelle prime 24 ore, contattando la banca per cercare di bloccare il pagamento. Data l’entità del problema, anche le banche, sostiene Vintiadis, dovrebbero fare la loro parte e operare maggiori controlli. Oltre a fermare la banca, gli step successivi prevedono la messa in sicurezza dei sistemi (se sono stati compromessi), l’indagine sul dipendente, il tema della giurisdizione (dove fare la denuncia?), e infine l’avvio di corsi di training ad hoc per limitare le frodi future perché i soldi ‘persi’ difficilmente vengono recuperati.

L’articolo integrale è stato pubblicato sul numero di marzo del magazine Wall Street Italia