Menu
Nel corso dell’anno 2022, una nota azienda italiana, colosso dell’abbigliamento, che ha sede legale a Milano e sede operativa in Provincia di Napoli, è stata vittima di una truffa Business E-mail Compromise (B.E.C.) di circa 200.000,00 dollari, posta in essere da hacker americani, quest’ultimi successivamente individuati grazie ad un’operazione congiunta tra la Polizia Postale Italiana e le competenti autorità americane (H.S.I.).
Nella fattispecie, il denaro è stato recuperato grazie alla cooperazione tra la Polizia Postale Italiana e l’Homeland Security Investigation (H.S.I.) statunitense. Nel mese di maggio 2022, il Centro Operativo per la Sicurezza Cibernetica per la Campania aveva avviato una corposa attività investigativa legata ad una serie di frodi compiute mediante la tecnica del Business E-mail Compromise (B.E.C.).
Lavorando a stretto contatto con i funzionari dell’Homeland Security Investigation presso l’Ambasciata degli Stati Uniti a Roma, gli investigatori hanno ottenuto il blocco immediato della somma sottratta. Dalle informazioni fornite dagli investigatori italiani, l’H.S.I. ha aperto un’indagine sul conto corrente utilizzato dagli autori della frode, dalla quale sono emerse ulteriori somme ottenute defraudando anche altre aziende.
Fortunatamente per la nota azienda italiana, al netto del danno di immagine, la vicenda dopo mesi di indagine ha avuto un risvolto tendenzialmente positivo, ma purtroppo non sempre, statisticamente parlando (circa il 97% dei casi), la truffa cyber riesce ad essere sventata e il denaro recuperato. Inoltre, il caso menzionato ci suggerisce più che altro quanto la prevenzione sia importante, anziché intervenire sempre in caso di emergenza. Successivamente l’azienda ha investito nella creazione di misure di cybersecurity adeguate.
Nel caso di attacchi BEC in altri termini le truffe finalizzate alla compromissione di e-mail aziendali, l’hacker compromette un account di posta elettronica aziendale e finge di esserne il proprietario, per truffare l’azienda o i fornitori/partner con messaggi in apparenza credibili e autorevoli, inducendoli a compiere un’azione desiderata (phising).
Già nel 2015, l’Internet Crime Complaint Center (IC3) e l’FBI pubblicarono un Annuncio di Servizio Pubblico (PSA) circa la truffa BEC, definendola, da un punto di vista più commerciale, una truffa sofisticata che prende di mira quelle imprese che lavorano con fornitori esteri e\o imprese che effettuano, regolarmente, pagamenti tramite bonifico bancario.
Sempre secondo l’FBI, esisterebbero diverse versioni delle truffe di tipo BEC: l’invio di fatture false, quando l’hacker si finge uno dei fornitori (soprattutto esteri) dell’azienda presa di mira, richiedendo quindi trasferimenti di fondi per pagamenti su un conto corrente di proprietà del truffatore; la CEO Fraud (ossia la frode dell’amministratore delegato), quando l’hacker che dispone l’attacco individua l’indirizzo e-mail del CEO e ne prende il controllo, per poi inviare un’e-mail al reparto amministrativo dell’azienda e richiedere il versamento di una somma di denaro per una transazione urgente o riservata, o la compilazione di un sondaggio\form, o ancora l’accesso ad aree riservate di un software gestionale; personificazione di un avvocato o di una figura dello studio legale incaricato di questioni urgenti e\o riservate; furto di dati, quando l’hacker agisce contro dipendenti delle risorse umane o contro la contabilità per ottenere dati PII (Personally Identifiable Information) o dichiarazioni fiscali.
Gli attacchi informatici di tipo BEC, tendenzialmente, mettono insieme tecniche di phishing ad elementi di Social Engineering: le e-mail sono solo un esempio delle innumerevoli tecniche di ingegneria sociale, rese insidiose dal fatto che i truffatori utilizzano quasi sempre account reali rubati ai dipendenti, oppure indirizzi e-mail che sono visivamente simili a quelli ufficiali dell’azienda. L’elemento di successo è in primis la fiducia delle vittime verso il proprio interlocutore: l’alto dirigente, il fornitore con cui si lavora da anni, il collega d’ufficio.
Secondo un Report di Trend Micro Research, i cyberattacchi basati sull’ingegneria sociale non passeranno mai di moda, anzi, tenderanno a divenire sempre più “sofisticati” e “incisivi”. Nella fattispecie, nel Report si afferma che il mercato per le truffe di tipo BEC aumenterebbe ad un tasso annuo di 19,4%. Inoltre, le perdite derivanti da questo genere di attacchi informatici ammonteranno a circa 2,8 miliardi di dollari entro il 2027. In Italia, nel contempo, innumerevoli e all’ordine del giorno risultano essere le denunce da parte di aziende italiane relativamente ad attacchi di tipo BEC (Business E-mail Compromise).
In conclusione, dunque, uno dei modi più semplici per ottenere accesso ad informazioni sensibili o compromettere intere infrastrutture aziendali risulterebbe semplicemente “chiedere” le suddette informazioni nei “giusti modi” e alle “giuste persone” appartenenti all’organizzazione da attaccare. Per questi motivi la divisione Cyber-risk & Digital Forensics di Excursus da anni protegge le aziende partner attraverso continue attività di prevenzione, promuovendo costanti iniziative volte a sensibilizzare, formare e aggiornare sull’argomento il personale delle aziende clienti.
