BEC è l’acronimo di Business Email Compromise, anche nota come "truffa del CEO" o della "mail del capo".
Il meccanismo di base – una variazione del più generico phishing – è abbastanza semplice e sfrutta uno strumento universalmente utilizzato come la posta elettronica per recapitare richieste di trasferimento di denaro studiate in modo che la loro origine possa sembrare lecita.
L'esempio classico è quello del dirigente o titolare d'azienda (da qui il nome di "truffa del CEO") che invia al proprio responsabile amministrativo la richiesta di bonificare urgentemente e senza troppe domande una certa somma a un presunto nuovo fornitore strategico.
Una variante assai diffusa, invece, è quella del finto fornitore che comunica l'avvenuta variazione delle proprie coordinate bancarie presso le quali la vittima potrà saldare le fatture in scadenza.
In ogni caso la mail appare legittima: le intestazioni sono corrette, il linguaggio usato è quello giusto, l'indirizzo email del mittente corrisponde, il destinatario è la persona che si occupa esattamente di quel tipo di operazioni. Nel turbine del lavoro quotidiano, la richiesta viene mandata avanti e l'azienda trasferisce soldi a un perfetto sconosciuto.
Sembra impossibile, ma questo tipo di truffa continua a riscuotere un notevole successo: nel proprio report relativo al 2020, la divisione dell'FBI specializzata in crimini informatici ha calcolato un costo di 1,8 miliardi di dollari per le aziende americane cadute vittima di questo particolare tipo di truffa.
Qual è il trucco? Semplicemente una accurata preparazione da parte dei malintenzionati, che trascorrono lungo tempo a studiare le loro vittime risalendo con pazienza a tutte le informazioni necessarie: organigrammi aziendali con nomi e contatti, aspetto grafico delle email, stile del testo... tutte cose che si possono recuperare su fonti pubbliche, con qualche innocua richiesta diretta per email o per telefono. E quando questo non fosse sufficiente, è sempre possibile rivolgersi al Dark Web dove, per esempio, a fine 2021 erano in vendita i dettagli personali di 4.000 manager di aziende italiane.
Non è poi difficile falsificare gli indirizzi email, quello che è noto col termine "spoofing": è sufficiente infatti registrare un nome a dominio simile a quello dell'azienda presa di mira, sostituendo magari una lettera "L" minuscola con il numero 1, o la lettera "O" con uno zero, per dotarsi di un indirizzo di posta pressoché indistinguibile da quello originale. Un accorgimento che funziona anche con le caselle PEC, che quindi non offrono garanzie di protezione particolari da questo genere di pericolo.
Lo spoofing degli indirizzi viene adottato quando i cybercriminali non riescono a entrare nelle vere caselle email delle loro vittime, un problema non raro che viene favorito dalle vulnerabilità spesso presenti nelle applicazioni usate per la gestione della posta elettronica e, soprattutto, dall'uso di password deboli, facili da indovinare o già riutilizzate altrove su servizi precedentemente violati. In tal caso, ovviamente, il lavoro del truffatore risulta ancora più facile perché in questo modo può inserirsi senza colpo ferire all'interno di conversazioni legittime già in corso, in modo del tutto insospettabile.
Rispetto alla maggioranza dei pericoli informatici che siamo abituati a trattare, la truffa BEC ha quindi un grado di complessità tecnica relativamente basso. I messaggi inviati dai cybercriminali non contengono codice pericoloso e quindi passano indisturbati attraverso i filtri anti-malware; i testi, altamente personalizzati, non vengono rilevati dai filtri antispam. Poiché siamo abituati a fidarci di queste protezioni, spesso non prestiamo molta attenzione ai messaggi che riescono a superarle. Abbassiamo la nostra soglia di attenzione e, presi dalla fretta di riuscire a star dietro ai mille impegni del lavoro quotidiano, ecco che caschiamo nella trappola.