CEO Fraud

La cosid­detta «truffa del CEO» è uno stra­ta­gemma sub­dolo. I col­la­bo­ra­tori di un’azienda auto­riz­zati a effet­tuare paga­menti diret­ta­mente rice­vono via e-mail da un loro supe­riore l’ordine di avviare imme­dia­ta­mente un paga­mento a un indi­rizzo spe­ci­fico. In realtà, però, il mit­tente è fal­si­fi­cato – è tutto opera di un truffatore.

Con­dotta sicura dei collaboratori

Se un supe­riore vi chiede via e-mail di effet­tuare un paga­mento imme­diato senza averlo prima annun­ciato o senza che voi ne foste già a cono­scenza, occorre pre­stare par­ti­co­lare atten­zione. In questi casi fuori della norma rac­co­man­diamo di veri­fi­care più a fondo la legit­ti­mità dell’ordine, p. es. con­trol­lando la pre­senza di even­tuali ele­menti di sicu­rezza come le firme dell’e-mail (firma digi­tale). In ogni caso, dovreste con­tat­tare diret­ta­mente il vostro supe­riore (di per­sona o almeno al tele­fono) e accer­tare se il paga­mento va vera­mente effettuato.

Come azienda, adot­tate misure precauzionali

Sen­si­bi­liz­za­zione del personale

La rice­zione di questo tipo di e-mail frau­do­lente può essere in qualche modo limi­tata con prov­ve­di­menti tec­nici, ma è impos­si­bile pre­ve­nirla del tutto. I truf­fa­tori cam­biano con­ti­nua­mente indi­rizzo masche­rando così la loro iden­tità e la loro pro­ve­nienza. Inoltre, a volte rie­scono per­sino a impa­dro­nirsi del vero account e-mail del supe­riore e a sfrut­tarlo per i loro scopi.

La prin­ci­pale forma di pre­ven­zione con­siste quindi nel sen­si­bi­liz­zare il per­so­nale degli uffici più inte­res­sati da questo genere di truffa, come la con­ta­bi­lità finanziaria.

Infor­ma­zioni online

Per sfer­rare una «truffa CEO», l’hacker ha bisogno innan­zi­tutto di infor­ma­zioni con­grue sull’azienda e i suoi col­la­bo­ra­tori. Spesso, il sito Internet della società o il regi­stro di com­mercio con­ten­gono già infor­ma­zioni suf­fi­cienti. Inoltre, i siti di social net­wor­king (come Lin­kedIn o Xing) sono par­ti­co­lar­mente inte­res­santi per i truf­fa­tori, perché con­ten­gono infor­ma­zioni sulle rela­zioni com­mer­ciali o sull’identità e la fun­zione dei col­la­bo­ra­tori. Con­trol­late quindi quali infor­ma­zioni sulla vostra impresa e i vostri col­la­bo­ra­tori sono pub­bli­ca­mente acces­si­bili online e, per quanto pos­si­bile, ridimensionatele.

Pro­ce­dura di auto­riz­za­zione dei pagamenti

La truffa vera e pro­pria si con­cre­tizza con il tra­sfe­ri­mento della somma richiesta. Di norma, la desti­na­zione è un conto ban­cario estero, dal quale il denaro viene poi rapi­da­mente spo­stato su altri conti. Per evi­tare tali paga­menti erronei è con­si­glia­bile sta­bi­lire una rigo­rosa pro­ce­dura di auto­riz­za­zione dei paga­menti con punti di con­trollo – pre­fe­ri­bil­mente adot­tando il prin­cipio del con­trollo incro­ciato con firma col­let­tiva. Ciò aumenta in misura signi­fi­ca­tiva la pro­ba­bi­lità che almeno una delle due per­sone che auto­riz­zano la tran­sa­zione si accorga che è una truffa e blocchi l’operazione.

Uti­lizzo di firme nelle e-mail

La «CEO Fraud» mani­pola il pro­cesso di paga­mento fal­si­fi­cando il legit­timo mit­tente dell’ordine (c.d. e-mail spoofing).

La variante più sem­plice con­siste nella fal­si­fi­ca­zione dell’indirizzo del mit­tente. Una firma dell’e-mail (firma digi­tale), che può essere apposta cor­ret­ta­mente solo dal mit­tente reale, rap­pre­senta una buona solu­zione. Tut­tavia, si tratta di una pro­ce­dura rela­ti­va­mente com­pli­cata da imple­men­tare ed è indi­spen­sa­bile anche che la firma venga con­trol­lata dal destinatario.

Più grave è l’uso ille­cito dell’account e-mail reale (com­pro­messo) del mit­tente, p. es. a seguito di un pre­li­mi­nare attacco di phi­shing riu­scito. In questo caso, anche la firma dell’e-mail può essere uti­liz­zata in modo impro­prio. L’unica solu­zione con­siste allora in una rigo­rosa pro­ce­dura di auto­riz­za­zione dei paga­menti e nella sen­si­bi­liz­za­zione di tutte le per­sone coinvolte.