Pagina iniziale Navigazione Contenuto Contatti Sitemap Cerca

CEO Fraud

La cosid­detta «truffa del CEO» è uno stra­ta­gemma sub­dolo. I col­la­bo­ra­tori di un’azienda auto­riz­zati a effet­tuare paga­menti diret­ta­mente rice­vono via e-mail da un loro supe­riore l’ordine di avviare imme­dia­ta­mente un paga­mento a un indi­rizzo spe­ci­fico. In realtà, però, il mit­tente è fal­si­fi­cato – è tutto opera di un truffatore.

Punti prin­ci­pali per i collaboratori:

  • Se venite con­tat­tati in cir­co­stanze incon­suete o sospette, non divul­gate nessun tipo di infor­ma­zioni e non seguite nes­suna istru­zione, nem­meno se vi viene fatta pressione.
  • Prima di ese­guirle, chie­dete con­ferma di tali richieste di paga­mento al supe­riore con­tat­tan­dolo attra­verso un canale dif­fe­rente (di per­sona o al telefono).
  • Pre­state atten­zione a even­tuali ele­menti di sicu­rezza man­canti o errati, come le firme delle e-mail.

Punti prin­ci­pali per le aziende:

  • Sen­si­bi­liz­zate i vostri col­la­bo­ra­tori su questo tipo di truffa.
  • Con­trol­late quali infor­ma­zioni sulla vostra impresa sono dispo­ni­bili online e, ove pos­si­bile e utile, ridimensionatele.
  • Defi­nite e appli­cate una pro­ce­dura di auto­riz­za­zione dei paga­menti mediante con­trollo incro­ciato con firma collettiva.
  • Segna­late imme­dia­ta­mente alla polizia tali ten­ta­tivi di truffa.
  • Veri­fi­cate l’utilizzo di ele­menti di sicu­rezza avan­zati come le firme delle e-mail nei pro­cessi azien­dali cri­tici (pro­ce­dura di pagamento).

Con­dotta sicura dei collaboratori

Se un supe­riore vi chiede via e-mail di effet­tuare un paga­mento imme­diato senza averlo prima annun­ciato o senza che voi ne foste già a cono­scenza, occorre pre­stare par­ti­co­lare atten­zione. In questi casi fuori della norma rac­co­man­diamo di veri­fi­care più a fondo la legit­ti­mità dell’ordine, p. es. con­trol­lando la pre­senza di even­tuali ele­menti di sicu­rezza come le firme dell’e-mail (firma digi­tale). In ogni caso, dovreste con­tat­tare diret­ta­mente il vostro supe­riore (di per­sona o almeno al tele­fono) e accer­tare se il paga­mento va vera­mente effettuato.

Come azienda, adot­tate misure precauzionali

Sen­si­bi­liz­za­zione del personale

La rice­zione di questo tipo di e-mail frau­do­lente può essere in qualche modo limi­tata con prov­ve­di­menti tec­nici, ma è impos­si­bile pre­ve­nirla del tutto. I truf­fa­tori cam­biano con­ti­nua­mente indi­rizzo masche­rando così la loro iden­tità e la loro pro­ve­nienza. Inoltre, a volte rie­scono per­sino a impa­dro­nirsi del vero account e-mail del supe­riore e a sfrut­tarlo per i loro scopi.

La prin­ci­pale forma di pre­ven­zione con­siste quindi nel sen­si­bi­liz­zare il per­so­nale degli uffici più inte­res­sati da questo genere di truffa, come la con­ta­bi­lità finanziaria.

Infor­ma­zioni online

Per sfer­rare una «truffa CEO», l’hacker ha bisogno innan­zi­tutto di infor­ma­zioni con­grue sull’azienda e i suoi col­la­bo­ra­tori. Spesso, il sito Internet della società o il regi­stro di com­mercio con­ten­gono già infor­ma­zioni suf­fi­cienti. Inoltre, i siti di social net­wor­king (come Lin­kedIn o Xing) sono par­ti­co­lar­mente inte­res­santi per i truf­fa­tori, perché con­ten­gono infor­ma­zioni sulle rela­zioni com­mer­ciali o sull’identità e la fun­zione dei col­la­bo­ra­tori. Con­trol­late quindi quali infor­ma­zioni sulla vostra impresa e i vostri col­la­bo­ra­tori sono pub­bli­ca­mente acces­si­bili online e, per quanto pos­si­bile, ridimensionatele.

Pro­ce­dura di auto­riz­za­zione dei pagamenti

La truffa vera e pro­pria si con­cre­tizza con il tra­sfe­ri­mento della somma richiesta. Di norma, la desti­na­zione è un conto ban­cario estero, dal quale il denaro viene poi rapi­da­mente spo­stato su altri conti. Per evi­tare tali paga­menti erronei è con­si­glia­bile sta­bi­lire una rigo­rosa pro­ce­dura di auto­riz­za­zione dei paga­menti con punti di con­trollo – pre­fe­ri­bil­mente adot­tando il prin­cipio del con­trollo incro­ciato con firma col­let­tiva. Ciò aumenta in misura signi­fi­ca­tiva la pro­ba­bi­lità che almeno una delle due per­sone che auto­riz­zano la tran­sa­zione si accorga che è una truffa e blocchi l’operazione.

Uti­lizzo di firme nelle e-mail

La «CEO Fraud» mani­pola il pro­cesso di paga­mento fal­si­fi­cando il legit­timo mit­tente dell’ordine (c.d. e-mail spoofing).

La variante più sem­plice con­siste nella fal­si­fi­ca­zione dell’indirizzo del mit­tente. Una firma dell’e-mail (firma digi­tale), che può essere apposta cor­ret­ta­mente solo dal mit­tente reale, rap­pre­senta una buona solu­zione. Tut­tavia, si tratta di una pro­ce­dura rela­ti­va­mente com­pli­cata da imple­men­tare ed è indi­spen­sa­bile anche che la firma venga con­trol­lata dal destinatario.

Più grave è l’uso ille­cito dell’account e-mail reale (com­pro­messo) del mit­tente, p. es. a seguito di un pre­li­mi­nare attacco di phi­shing riu­scito. In questo caso, anche la firma dell’e-mail può essere uti­liz­zata in modo impro­prio. L’unica solu­zione con­siste allora in una rigo­rosa pro­ce­dura di auto­riz­za­zione dei paga­menti e nella sen­si­bi­liz­za­zione di tutte le per­sone coinvolte.

Nello schema di truffa «CEO Fraud» (noto anche come «truffa del CEO» o «truffa del capo»), i malin­ten­zio­nati si spac­ciano per il CEO (il capo) di un’azienda e impar­ti­scono ai col­la­bo­ra­tori auto­riz­zati a effet­tuare paga­menti l’ordine di ese­guire imme­dia­ta­mente il ver­sa­mento di una somma consistente.

«CEO» è l’abbreviazione di Chief Exe­cu­tive Officer e signi­fica gene­ral­mente «ammi­ni­stra­tore dele­gato»; «fraud» è la tra­du­zione in inglese di «truffa».

Cos’altro vorreste sapere sulla sicurezza nell’e-banking?

Iscri­ve­tevi subito a un corso per saperne di più:

Corso di for­ma­zione di base

Sco­prite i rischi posti da Internet e come con sem­plici ope­ra­zioni vi potete pro­teg­gere e usare l’e-banking in modo sicuro.

mag­giori informazioni

Corso online Mobile Ban­king / Payment

Impa­rate a cono­scere Mobile Ban­king e Mobile Pay­ment e come uti­liz­zare tali app in modo sicuro.

mag­giori informazioni

Corso online per minori di 30 anni

Impara a usare lo smart­phone in modo sicuro. Oltre alle basi, ti mostre­remo cosa c’è da sapere su social media, cloud, Mobile Ban­king e Mobile Payment.

mag­giori informazioni

Corso per le PMI

La vostra azienda è suf­fi­cien­te­mente sicura? Sco­prite come raf­for­zare la sicu­rezza delle infor­ma­zioni nella vostra azienda.

mag­giori informazioni