Le truffe alle aziende continuano a fare strage

In gergo vengono chiamate BEC, Business Email Compromise e rappresentano una delle tecniche di attacco più efficaci utilizzate dai pirati informatici. Lo schema prevede un attacco che consenta ai cyber-criminali di violare l’account di posta di un dipendente dell’azienda, in genere di un dirigente o di un impiegato nel settore dell’amministrazione.

L’accesso alla posta elettronica, poi, viene utilizzato per inviare un messaggio con informazioni false riguardo a pagamenti nei confronti di un fornitore o per modificare le coordinate bancarie per il versamento dello stipendio. Un trucchetto apparentemente semplice, ma che i truffatori mettono in atto con estrema cura, prendendosi tutto il tempo necessario per raccogliere le informazioni che gli servono e aspettando il momento più opportuno per colpire.

Secondo l’FBI, solo negli Stati Uniti le truffe di questo tipo hanno fruttato ai cyber-criminali la bellezza di 1,2 miliardi di dollari, con più di 20.000 casi registrati dalle autorità. Le cronache, che in questi giorni riportano l’arresto di un truffatore di nazionalità nigeriana che avrebbe sottratto la bellezza di 11 milioni di dollari con questo metodo, confermano quanto sia diffuso il fenomeno.

Come sottolineano esperti di sicurezza e ricercatori, quella della BEC è una partita che si gioca su due piani. La prima, ovviamente, riguarda la protezione degli account e il blocco degli attacchi (la maggior parte dei quali basati sullo spear phishing) usati per violare gli account dei dipendenti. La seconda, invece, ha ben poco a che fare con gli strumenti tecnologici. Interessa piuttosto le policy aziendali e le modalità con cui vengono gestiti i processi decisionali. Se per un ordine di pagamento, per esempio, venisse richiesta una conferma attraverso uno strumento ulteriore rispetto all’email (attraverso la viva voce al telefono o un SMS) il compito dei truffatori diventerebbe un po’ più complicato. Anche questa, in fondo, è cyber-security.