Come evitare truffe bancarie online: BEC e IBAN Scam

In questi anni i cybercriminali hanno imparato due cose fondamentali per aumentare le probabilità di successo degli attacchi: concentrarsi sulle tecnologie più diffuse e sulle persone fisiche (che rimangono l’anello più debole della catena della cybersicurezza).

Le truffe bancarie online fanno proprio leva su questi 2 aspetti.

Esistono 2 tipi di truffe bancarie online molto diffuse in questi ultimi tempi che hanno svuotato il conto corrente di milioni di persone in tutto il mondo: la truffa BEC e IBAN Scam.

 

BEC è l’acronimo di Business Email Compromise, anche nota come “truffa del CEO” o della “mail del capo”.
Il meccanismo di base – una variazione del più generico phishing – è abbastanza semplice e sfrutta uno strumento universalmente utilizzato come la posta elettronica per recapitare richieste di trasferimento di denaro studiate in modo che la loro origine possa sembrare lecita.

L’esempio classico è quello del dirigente o titolare d’azienda (da qui il nome di “truffa del CEO”) che invia al proprio responsabile amministrativo la richiesta di bonificare urgentemente e senza troppe domande una certa somma a un presunto nuovo fornitore strategico.
Una variante assai diffusa, invece, è quella del finto fornitore che comunica l’avvenuta variazione delle proprie coordinate bancarie presso le quali la vittima potrà saldare le fatture in scadenza.

In ogni caso la mail appare legittima: le intestazioni sono corrette, il linguaggio usato è quello giusto, l’indirizzo email del mittente corrisponde, il destinatario è la persona che si occupa esattamente di quel tipo di operazioni. Nel turbine del lavoro quotidiano, la richiesta viene mandata avanti e l’azienda trasferisce soldi a un perfetto sconosciuto.

Sembra impossibile, ma questo tipo di truffa continua a riscuotere un notevole successo: nel proprio report relativo al 2020, la divisione dell’FBI specializzata in crimini informatici ha calcolato un costo di 1,8 miliardi di dollari per le aziende americane cadute vittima di questo particolare tipo di truffa.
Qual è il trucco? Semplicemente una accurata preparazione da parte dei malintenzionati, che trascorrono lungo tempo a studiare le loro vittime risalendo con pazienza a tutte le informazioni necessarie: organigrammi aziendali con nomi e contatti, aspetto grafico delle email, stile del testo… tutte cose che si possono recuperare su fonti pubbliche, con qualche innocua richiesta diretta per email o per telefono. E quando questo non fosse sufficiente, è sempre possibile rivolgersi al Dark Web dove, per esempio, a fine 2021 erano in vendita i dettagli personali di 4.000 manager di aziende italiane.
Non è poi difficile falsificare gli indirizzi email, quello che è noto col termine “spoofing“: è sufficiente infatti registrare un nome a dominio simile a quello dell’azienda presa di mira, sostituendo magari una lettera “L” minuscola con il numero 1, o la lettera “O” con uno zero, per dotarsi di un indirizzo di posta pressoché indistinguibile da quello originale. Un accorgimento che funziona anche con le caselle PEC, che quindi non offrono garanzie di protezione particolari da questo genere di pericolo.
Lo spoofing degli indirizzi viene adottato quando i cybercriminali non riescono a entrare nelle vere caselle email delle loro vittime, un problema non raro che viene favorito dalle vulnerabilità spesso presenti nelle applicazioni usate per la gestione della posta elettronica e, soprattutto, dall’uso di password deboli, facili da indovinare o già riutilizzate altrove su servizi precedentemente violati. In tal caso, ovviamente, il lavoro del truffatore risulta ancora più facile perché in questo modo può inserirsi senza colpo ferire all’interno di conversazioni legittime già in corso, in modo del tutto insospettabile.

Rispetto alla maggioranza dei pericoli informatici che siamo abituati a trattare, la truffa BEC ha quindi un grado di complessità tecnica relativamente basso. I messaggi inviati dai cybercriminali non contengono codice pericoloso e quindi passano indisturbati attraverso i filtri anti-malware; i testi, altamente personalizzati, non vengono rilevati dai filtri antispam. Poiché siamo abituati a fidarci di queste protezioni, spesso non prestiamo molta attenzione ai messaggi che riescono a superarle. Abbassiamo la nostra soglia di attenzione e, presi dalla fretta di riuscire a star dietro ai mille impegni del lavoro quotidiano, ecco che caschiamo nella trappola.

 

Negli ultimi tempi ha poi iniziato a diffondersi una variante della truffa BEC, che fa maggior ricorso all’automazione per colpire aziende su più vasta scala facendo a meno dell’impegnativa fase di preparazione personalizzata tipica degli attacchi BEC.
Si tratta della cosiddetta “truffa dell’IBAN” o “IBAN scam“, nella quale i cybercriminali cercano di assumere il controllo delle caselle di posta elettronica delle loro vittime e/o iniettare software indesiderato nei loro sistemi, allo scopo di modificare i codici IBAN presenti nelle copie PDF delle fatture di cortesia che i fornitori inviano ai loro clienti.

Il malware di questo tipo può dunque agire su due fronti: cambiando i codici IBAN delle fatture ricevute tramite email o di quelle in partenza verso clienti. Questo genere di truffa ha particolare successo presso professionisti e piccole aziende che, in genere, gestiscono contabilità e pagamenti basandosi sulle copie di cortesia delle fatture senza riscontrarle con gli originali ufficiali pervenuti attraverso lo SDI, il sistema di interscambio della fatturazione elettronica.
Non ci stupiremmo quindi se, in un prossimo futuro, ad essere colpiti con gli IBAN scam fossero proprio gli applicativi adoperati dalle aziende per la gestione della fatturazione elettronica. Ma questa sarà un’altra storia e non vogliamo precorrere troppo i tempi.

 

Che si tratti di truffa IBAN o BEC, è chiaro come la prima conseguenza di questi attacchi consiste in una perdita di denaro da parte della vittima. A seconda delle dimensioni dell’azienda, i danni possono essere quantificati anche in milioni di euro, ma in genere si tratta sempre di somme importanti dal momento che i cybercriminali cercano di ottimizzare la redditività del loro lavoro estorcendo le cifre più alte possibili.

Anche se le attività di polizia postale e magistratura dirette a contrastare questo fenomeno si stanno rafforzando, una volta colpito da una truffa del genere potrai fare ben poco per recuperare le somme estorte: in genere i malintenzionati dirottano i bonifici all’estero per complicare ulteriormente il tracciamento del denaro e, quindi, il suo possibile recupero.
L’ha scoperto letteralmente a sue spese il gruppo Maire Tecnimont, vittima di una truffa BEC da 17 milioni di euro organizzata con una triangolazione che ha interessato soggetti presenti in India e Cina: la magistratura milanese, cui si era rivolta la società, nulla ha potuto a causa di difetto di giurisdizione.

Le conseguenze tuttavia non si fermano qui. Come nell’esempio appena riportato, si aggiunge un problema di pubbliche relazioni e di credibilità. Non è mai bello quando il nome della tua azienda finisce sui media perché si è lasciata truffare. Non ci fai una buona figura e lanci ai tuoi clienti un segnale negativo destinato inevitabilmente a ripercuotersi sul tuo business.
Non è tutto. Prova a immaginare cosa può accadere quando inizi a sollecitare a un tuo cliente il saldo di una fattura che a lui risulta regolarmente pagata… a un IBAN che però nulla c’entra. Facile che a quel punto cominci uno spiacevole rimpallo sulle responsabilità di quel falso IBAN e dei controlli che avrebbero dovuto essere effettuati prima del pagamento ma che nessuno ha svolto.
Se anche non si finisce in tribunale per dirimere la questione, è abbastanza logico prevedere che i rapporti con quel cliente non saranno mai più come prima, se non verranno addirittura interrotti. E poiché sappiamo bene come le notizie si diffondano veloci all’interno degli ambienti di lavoro, puoi essere certo che da quel momento in avanti anche molti altri tuoi clienti ti guarderanno con un occhio diverso dal solito.

Paradossalmente, sono proprio i danni non monetari a essere quelli più pericolosi per la tua attività. In fondo l’aspetto finanziario potrebbe essere secondario per te: magari la cifra che hai perso non è così significativa, magari sei assicurato, magari riesci in qualche modo a tornare in possesso del denaro che ti è stato illecitamente carpito; ma niente e nessuno potrà mai cancellare la perdita di immagine e l’avvelenamento dei rapporti con i tuoi clienti e i tuoi fornitori.

 

Come accade con tutte le minacce circolanti nel mondo digitale – e sono davvero tante – esistono delle contromisure che puoi adottare in tempi rapidi e a poco costo per minimizzare o annullare i vari rischi che corri quotidianamente.

Iniziamo con qualche soluzione tecnica che non dovrebbe mai mancare nel tuo ambiente informatico a prescindere dalle truffe BEC, IBAN Scam o dagli attacchi di qualunque altro genere:

• Firewall: software o hardware che sia, il firewall è un componente critico di qualsiasi infrastruttura di rete e il suo scopo è quello di bloccare tutto il traffico non previsto dalle regole stabilite da te (più facilmente, dai tuoi tecnici o consulenti IT). Alcuni firewall maggiormente evoluti sono anche in grado di osservare e analizzare il traffico circolante in ingresso e in uscita con un notevole grado di approfondimento, segnalando e fermando tutti i contenuti sospetti. Anche se il firewall da solo non è sufficiente a garantire una protezione completa, esso è tuttavia il primo tassello di una difesa di successo, potendo fornire una serie di informazioni strategiche ad altre soluzioni implementate a cascata per la salvaguardia della tua azienda.

• Antivirus: applicazione indispensabile da oltre un quarto di secolo, l’antivirus ha continuato ad evolversi e oggi si propone sul mercato con tante varianti anche molto diverse tra loro. La nuova frontiera di questa tecnologia riguarda l’utilizzo di algoritmi di machine learning e intelligenza artificiale che si accorgono dei comportamenti sospetti di qualunque software senza più dover fare affidamento su un catalogo di campioni (le cosiddette segnature o firme digitali del malware) costantemente ma mai totalmente aggiornato. Un buon antivirus può tenerti al riparo anche di fronte a vulnerabilità mai osservate prima, costituendo un bastione algoritmico per la difesa del tuo ambiente software.

• Antispam: nato per contrastare le mail pubblicitarie indesiderate, l’antispam ha visto crescere il proprio ruolo negli anni, in concomitanza con l’utilizzo della posta elettronica come vettore per diffondere qualsiasi genere di contenuto pericoloso: allegati eseguibili, link malevoli, documenti modificati per attivare attacchi e così via. Un buon antispam oggi agisce contemporaneamente da sistema anti-phishing bloccando email truffaldine di ogni genere, comprese quelle altamente personalizzate che sono alla base delle truffe BEC.

• Patching: non si tratta di un prodotto bensì del processo di regolare aggiornamento di tutto il software installato su ogni tuo dispositivo digitale, dai sistemi operativi alle applicazioni. Gli aggiornamenti, o update, sono essenziali perché risolvono bug e vulnerabilità che emergono con l’uso pratico; inoltre spesso aggiungono miglioramenti e nuove funzionalità che aumentano l’efficacia del tuo lavoro. Una strategia di patching ben fatta prende il via con l’inventario di tutti gli apparati che possiedi (non solo PC, server e tablet ma anche apparecchiature di vario genere come stampanti multifunzione, switch/router di rete, centralini VoIP e così via), costituendo anche l’occasione per ottenere una fotografia precisa di quel che è collegato al tuo ambiente. Potresti essere sorpreso dalle scoperte che si fanno in questi casi!

• Autenticazione a due fattori: Colloquialmente nota con la sigla 2FA (2 Factor Authentication), questa tecnica ti sarà nota perché molto probabilmente la adoperi già per verificare le operazioni bancarie online. La verifica 2FA scatta dopo l’invio delle normali credenziali nome utente + password comunicando – per SMS, email o app del telefono – un ulteriore codice usa e getta che va quindi digitato per completare l’accesso. Il codice viaggia su un canale diverso da quello della richiesta di accesso originale rendendo così insufficiente la conoscenza delle sole credenziali di base. È una buona idea utilizzare una tecnica 2FA per proteggere le caselle di posta elettronica della tua azienda (e non solo), vincolando l’accesso per esempio al possesso di un numero di telefono “certificato” al quale instradare gli SMS con i codici di controllo.

• Formazione del personale: come abbiamo visto, le truffe BEC (e la categoria degli attacchi phishing più in generale) si caratterizzano per una componente tecnologica minimale, ricorrendo più che altro a una leva psicologica e facendo affidamento su atteggiamenti di disattenzione delle vittime. Per questo una soluzione esclusivamente tecnologica non è sufficiente: come gli attaccanti, anche tu devi prestare massima cura all’aspetto umano, sensibilizzando i tuoi collaboratori circa i rischi che si possono correre inconsapevolmente nel lavoro di tutti i giorni. Sensibilizzare in questo caso non significa raccontare semplicemente qualche aneddoto cybercriminale davanti alla macchinetta del caffè, ma dev’essere frutto di un preciso programma di formazione.

Dalla sensibilizzazione devono poi scaturire comportamenti appropriati. Ciascuno di noi può riflettere sui punti deboli che ritiene di aver identificato nelle proprie attività e proporre adeguate contromisure che possono essere quindi condivise con i colleghi, messe alla prova e infine formalizzate in un documento come buone pratiche dell’azienda.
Nel caso delle truffe bancarie analizzate, in questo documento potrebbero essere scritti suggerimenti apparentemente banali, come fare sempre una telefonata diretta per controllo alla persona che richiede un pagamento fuori dai normali standard interni dell’azienda oppure al fornitore che abbia variato il proprio IBAN in fattura senza preavviso.

Certo, criminali molto esperti e motivati potrebbero impossessarsi del numero di cellulare di una persona (in genere grazie alla presenza di complici all’interno delle compagnie telefoniche) e falsificare la voce dell’interlocutore usando tecniche di deep fake basate sull’intelligenza artificiale: situazioni oggi rare ma non impossibili, e probabilmente destinate a diffondersi in futuro.

Se sei molto scrupoloso, potresti anche voler mettere alla prova i tuoi collaboratori, coinvolgendo professionisti IT come Fastlane, che si occupano di creare campagne di phishing simulato, che consentono una valutazione precisa del grado di attenzione e preparazione del personale aziendale rispetto a questo genere di problema.

Un giusto mix di processi interni e soluzioni tecnologiche può rendere la tua azienda un boccone difficile da digerire per le varie gang informatiche, che passeranno così a dedicare le loro attenzioni ad organizzazioni meno lungimiranti e preparate della tua.

 

La sicurezza della tua azienda deve essere garantita da tecnici professionisti sempre aggiornati sui nuovi pericoli e in grado di attuare tutte le procedure corrette per mantenere protetti i punti più a rischio della tua infrastruttura IT. Solo un’analisi puntuale ed approfondita della situazione in essere può far emergere eventuali criticità.

Un partner affidabile come Fastlane può eseguire sia la parte consulenziale di analisi valutativa per determinare gli interventi utili, sia fornire il servizio Security dell’area IT che si occuperà della completa gestione del problema in modalità Managed Service Provider (MSP).
L’outsourcing dell’intera area IT, oppure anche di una parte di essa, è uno strumento affidabile ed economicamente vantaggioso per la gestione degli aspetti informatici aziendali.