Allarme truffe per le aziende

Si chiama BEC (Business Email Compromise) ed è uno schema di truffa informatica che gli esperti di sicurezza conoscono bene. La strategia dei cyber criminali è sempre la stessa: dopo un attacco di phishing ai danni di un dirigente dell’azienda che gli permette di prendere il controllo della sua casella email, i truffatori aspettano il momento in cui viene programmata una transazione economica con un fornitore o un cliente e inviano una falsa email in cui modificano le coordinate bancarie per il pagamento.

Risultato: il denaro finisce in un conto corrente controllato da pirati e, prima che l’azienda si accorga di ciò che è successo, i soldi si sono volatilizzati in circuiti bancari internazionali o in istituti di credito con sede in paesi dalla legislazione abbastanza “opaca” da impedirne il tracciamento.

Non è una novità, anzi: l’FBI ha lanciato più volte l’allarme riguardo al fenomeno, che nel 2019 avrebbe permesso ai pirati informatici di intascare più di 1,7 miliardi di dollari.

Gli appelli a introdurre strumenti di controllo e policy che consentano di individuare tempestivamente le truffe, però, sembrano essere caduti nel vuoto. La conferma arriva dalla cronaca: un singolo gruppo di pirati informatici è riuscito infatti a truffare più di 150 aziende, rubando la bellezza di 15 milioni di dollari attraverso lo schema descritto.

Il paradosso è che per proteggersi non serve poi molto. Sistemi di autenticazione multi-fattore per i servizi di posta elettronica, monitoraggio degli accessi ai servizi di mail su cloud e rigorose procedure di controllo per i pagamenti sono più che sufficienti per mitigare il rischio di un attacco del genere.

L’elemento più importante, però, è quello della formazione del personale (e in particolare dei dirigenti) a quella “cultura della sicurezza” che da più parti viene invocata e che ancora stenta a ottenere cittadinanza nel mondo delle imprese.

Condividi:
Torna indietro

Iscriviti alle newsletter di AttivaEvolution