Oggetto di studio anche da parte dell’FBI, parliamo di una delle truffe informatiche più conosciute degli ultimi anni: la CEO Fraud.
Il valore degli incassi ottenuti dalle organizzazioni di criminali informatici che hanno adottato questa tecnica ammonta a 2,3 miliardi di dollari già nel 2018.
Ma analizziamo insieme come è nato questo fenomeno.
Di che cosa si tratta
Settembre 2017, parliamo di un caso reale.
G.D.A, direttore della delegazione di Confindustria a Bruxelles, riceve un’e-mail dal suo diretto superiore, M.P. Il testo del messaggio recita più o meno queste parole:
“Caro G., dovresti eseguire un bonifico di mezzo milione di euro su questo conto corrente. Non mi chiamare perché sono in giro con il presidente e non posso parlare. M.P.”
Il funzionario a Bruxelles legge l’e-mail, vede l’indirizzo del mittente ed esegue immediatamente l’ordine ricevuto dal suo superiore. Il problema che in breve tempo viene alla luce è che il messaggio non proveniva realmente dal suo superiore bensì da un hacker che ne aveva violato la casella e-mail e inoltrato la richiesta, riuscendo ad ingannare la vittima.
Il risultato generato da questo attacco? Quasi mezzo milione di euro è stato versato su un conto corrente di cui ben presto sono scomparse le tracce ed il povero funzionario è stato licenziato in tronco.
Che cosa intendiamo con il termine Truffa del CEO o CEO Fraud
Questo tipo di truffa, detta CEO Fraud rientra in una categoria di truffe via e-mail o truffe via telefonata che originano dalla violazione della casella di posta elettronica di qualche importante figura aziendale: titolari d’azienda o manager con potere di firma.
Le aziende colpite non sono necessariamente grosse imprese, al contrario, normalmente vengono identificate tra le imprese attaccate anche le piccole-medie attività. Tra i tecnici, questo attacco informatico viene indicato con il termine BEC ovvero Business E-mail Compromise.
Case history delle aziende colpite
Ricordiamo alcuni tra i casi più eclatanti:
2014
Uno dei primi casi di truffa BEC più noti.
Xoom è una multinazionale specializzata nel money transfer. Ironia della sorte, la società trasferisce per errore 30.8 milioni di dollari agli attaccanti, facendosi ingannare dalle solite false e-mail. Il titolo di Xoom in borsa perde il 17% in brevissimo tempo. Il risultato? Perdita economica ingente e danno d’immagine, incalcolabile.
2015
Ubiquiti Networks rivela di essere stata vittima di una frode informatica del tutto inaspettata. La truffa consiste nella “personificazione di un dipendente e nella richieste di denaro dall’esterno verso la sezione finanziaria dell’Azienda”. Anche in questo caso, la cifra versata per errore dall’azienda è da capogiro: i criminali riescono ad impadronirsi di 47 milioni di dollari.
2016
L’azienda aerospaziale austriaca FACC vede svanire 42 milioni di euro in seguito alla ricezione di un’e-mail apparentemente proveniente dal CEO, in cui ingiungeva ad un impiegato di trasferire immediatamente dei fondi per un progetto di acquisizione. Oltre al direttore finanziario, anche il CEO è stato licenziato e citato in giudizio. Pare che l’imputazione sia stata che “… non avrebbe fatto abbastanza per proteggere la ditta dalle cyber-frodi”.
2017
Un cinquantenne lituano, riesce a derubare Facebook e Google 122 milioni di dollari in due anni.
Come c’è riuscito? Ha registrato in Lettonia una ditta con lo stesso nome del produttore di elettronica taiwanese Quanta Computer ed ha iniziato ad inviare e-mail con allegati fatture false di ottima qualità, tale da non insospettire nemmeno i due giganti tecnologici. Si pensa che in questo caso, l’hacker sia riuscito a compromettere le caselle e-mail e si sia impossessato di una serie di contratti reali di Quanta Computer.
2018
Il gruppo francese Pathé Cinema rimane vittima di una truffa BEC piuttosto sofisticata e curata nei dettagli. L’azienda paga ai criminali, in quattro bonifici , un totale di 19.244.304 euro. Anche in questo caso, la vicenda è costata il posto (ed una causa per danni) a due funzionari che non si erano avvisti della minaccia informatica ed avevano autorizzato i pagamenti.
2018
La Maire Tecnimont SpA, colosso nel settore ingegneristico con sede a Milano, cade nella trappola della CEO Fraud per ben due volte nell’arco di tempo di pochi mesi: il danno economico è di circa 18 milioni di euro.
In entrambi i casi il meccanismo è lo stesso: l’invio di un’e-mail con indirizzo mittente simile a qualcuno dell’alta direzione. La richiesta era di eseguire urgentemente e con massima segretezza bonifici su conti esteri.
In uno dei casi si è effettivamente trattato della compromissione dell’e-mail del mittente, nell’altro di spoofing dell’indirizzo di posta.
2019
Un attacco informatico BEC causa al colosso Toyota la perdita di 37 milioni di dollari. Il motivo? L’azienda sostiene di aver ricevuto: istruzioni di pagamento fraudolente da parte di malintenzionati.
CEO Fraud: la portata del fenomeno
L’attacco informatico ha una portata così ampia da attirare persino l’attenzione dell’FBI. L’agenzia stima che negli ultimi tre anni gli attacchi CEO Fraud abbiano provocato alle aziende danni per circa 26 miliardi di dollari; cifra che, secondo gli esperti, è destinata a crescere ulteriormente.
Nel solo 2019, i casi segnalati (fonte FBI) sono stati 23.775, con un totale di circa 1.7 miliardi di dollari di perdite dirette.
Il SOC security di Symantec afferma che in Italia vengono colpite da questo tipo di frode circa 400 aziende al giorno. L’Italia, infatti, si piazza al secondo posto (subito dopo gli USA) per attacchi di questo tipo. Questo numero appare ancora più impressionante se consideriamo che la maggior parte delle aziende rimaste vittima dell’attacco decide di non divulgare la notizia, temendo di aggiungere il danno d’immagine alla già ingente perdita economica.
I motivi della diffusione della truffa del CEO
Una notevole crescita della truffa del CEO indubbiamente è da imputare alla pubblicazione in un portale sul dark web, all’inizio del 2019, del file #Collection1: un database di circa 700 milioni di indirizzi e-mail e decine di milioni di password, cosa che ha notevolmente semplificato il lavoro degli attaccanti e ha reso la Business Email Compromise una tecnica alla portata di molti.
Dobbiamo però constatare che tutte le tecniche di BEC, CEO Fraud o whaling attack che dir si voglia, nonostante le infinite varianti, comprendono sempre come parte dello schema una componente di social engineering.
Ovvero, l’attaccante deve fare leva sulle emozioni della vittima a fine di convincerla, senza sospetto, che il mittente dell’e-mail sia effettivamente il manager autorizzato a richiedere il trasferimento di denaro.
A tal proposito, possiamo assolutamente dire che l’attacco di CEO Fraud è un’azione mirata.
Molto spesso, infatti, l’attacco viene preceduto da una fase di studio dell’azienda: del suo organigramma, dei rapporti professionali e personali tra le persone chiave; a volte non manca nemmeno una preliminare attività di comunicazione diretta (via e-mail) con la vittima stessa, in modo da rafforzare il rapporto di fiducia tra le parti. Persino i profili social degli utenti vengono studiati.
Come funziona la CEO Fraud?
Durante un attacco BEC, l’attaccante riesce a compromettere la casella di posta elettronica della vittima e a spiarne le conversazioni;
dopo aver studiato le comunicazioni, impersona il mittente (solitamente un alto dirigente dell’azienda), ordinando ad un collaboratore di effettuare un versamento su un conto corrente estero.
Normalmente, il criminale informatico comunica esclusivamente via e-mail, richiedendo urgenza e riservatezza da parte del destinatario, con motivi che possono risultare assolutamente credibili, come la necessità di chiudere un affare prima che la concorrenza ne venga a conoscenza. Quella descritta è solo una delle tante varianti di questa tecnica.
L’hacker, anziché chiedere un trasferimento di denaro, può:
- farsi trasmettere una password per avere accesso a dati riservati
- farsi inviare le credenziali per avere accesso all’infrastruttura informatica aziendale;
- chiedere ai tecnici di cambiare la sua password esistente con una nuova di sua scelta;
- farsi trasmettere documenti riservati.
Una volta riuscito a spacciarsi per qualcuno che ha veramente potere all’interno dell’azienda, le possibilità sono infinite. Ma non è finita qui.
Esiste una variante di Truffa del CEO che prevede che l’hacker impersoni un fornitore dell’azienda, chiedendo che alcune fatture (reali o false) gli vengano pagate non sul suo solito IBAN, ma su uno nuovo, normalmente estero.
Il vero problema che spesso trae in inganno l’utente è che la richiesta arrivi, sempre via mail, su carta intestata del “vero” fornitore.
Fattor comune nelle truffe del CEO
Esiste un fattore costante in tutti i tipi di truffa del CEO che vale la pena sottolineare: riuscire ad impersonare un utente interno all’azienda che risulti noto alla vittima, risultando credibile e convincente ai suoi occhi, tanto da indurla a fornire informazioni dirette all’attaccante.
Infatti, la contraffazione o la compromissione dell’e-mail può avvenire in diversi modi.
Il più banale è un semplice travestimento dell’indirizzo del mittente; cioè la sostituzione dell’indirizzo con un altro che, ad uno sguardo non troppo attento, può essere confuso con quello legittimo.
Per esempio, [email protected] si confonde facilmente con [email protected], o con [email protected].
Le possibilità sono infinite.
Tecniche per inscenare la Truffa del CEO
Un’altra possibilità è sfruttare le debolezze intrinseche del protocollo di scambio di posta SMTP.
Si tratta di un protocollo antiquato ma ancora molto usato.
Per portare a termine l’attacco, l’hacker cercherà di sovrascrivere le informazioni contenute nei campi dell’header (MAIL FROM, RCPT TO, ecc.) di cui il protocollo non prevede il controllo, ma che vengono normalmente visualizzate dal ricevente. Se l’attaccante inserisce in questi campi l’indirizzo e-mail di qualcun altro e il destinatario usa un programma di posta non sufficientemente protetto, è facile che il trucco riesca ad ingannare la vittima.
Il metodo più sicuro, ma assolutamente più complesso dal punto di vista tecnico, è per l’hacker di prendere effettivamente il controllo della casella di posta della vittima.
Questo viene reso possibile ricorrendo ad una delle numerose tecniche di hacking tra cui:
- furto delle credenziali tramite phishing o social engineering
- reperimento delle stesse sul web
- attacco brute force
- uso di keylogger
- sfruttando una vulnerabilità del server di posta.
A questo punto, una volta acquisito il controllo della casella di posta, il criminale può leggere tutte le e-mail che la vittima riceve e, di conseguenza, può inviarne a suo nome. In funzione di quanto appena scritto, è facile immaginare i danni che una compromissione di questo tipo può causare all’azienda.
Non dimentichiamoci della CEO Fraud via chiamata
C’è un’altra variante, davvero affascinante dal punto di vista tecnico, che non fa propriamente parte della Business Email Compromise ma è sicuramente classificabile come CEO Fraud.
Ad esempio, il CEO di un’azienda inglese del settore energia (il cui nome non è stato reso noto) riceve una telefonata dal suo boss. Quest’ultimo ordina che vengano urgentemente trasferiti immediatamente 220.000 euro su un conto ungherese.
La conversazione avviene tramite telefono. Il dirigente che si trova dall’altro capo del telefono riconosce limpidamente il timbro di voce, l’accento tedesco e la cantilena del suo capo.
La voce non era del vero amministratore delegato, bensì si trattava di una voce registrata con tecniche di Intelligenza Artificiale (AI) e Deep Learning che hanno consentito di riprodurre la stessa voce del CEO.
Le tecniche di deepfake sono già da qualche tempo applicate per contraffare in modo perfetto foto e video , ma usare l’AI per simulare la voce di qualcuno (voice deepfake) è davvero l’ultima frontiera delle truffe.
Come difendersi dalla CEO Fraud
La prima regola è sempre la stessa: tenere alta l’attenzione.
Gli americani ripetono sempre PEBKAC ovvero Problem Exists Between Keyboard And Chair. In buona sostanza, parlando di truffe online o truffa del CEO, il maggiore dei punti deboli è costituito dal fattore umano.
Prendendo parte alla rete informatica di un’azienda non possiamo fare a meno di chiederci se ciò che ci viene sottoposto rientra tra la normalità delle operazioni o meno. Nel caso delle truffe CEO, una possibile azione preventiva potrebbe essere la verifica di quanto abbiamo ricevuto.
In nessuno dei casi da noi elencati in questo articolo, gli utenti hanno verificato la fonte del messaggio e la veridicità delle richieste.
Inoltre, se siete i titolari di un’azienda, la migliore soluzione da implementare in azienda è una solida politica cybersecurity.
Qualsiasi truffa via e-mail può essere combattuta attraverso la diffusione della cultura di sicurezza informatica. Laddove l’uomo termina le proprie risorse, si ricorre anche al supporto che la tecnologia ci mette a disposizione: software di posta elettronica sicuri e recenti; sistemi antispam di ultima generazione e un completo sistema di protezione della rete informatica dell’azienda.
Ma più di tutte, la soluzione di implementare un servizio di analisi delle vulnerabilità di sicurezza presenti nel sistema informatico: un Vulnerability Assessment continuativo e puntuale. Questo strumento ci permette di scoprire tutte le vulnerabilità di sicurezza che abbiamo lasciato aperte nei nostri sistemi.
- Autore articolo
- Gli ultimi articoli
Ebbi il mio primo contatto con l’informatica nel 1983. Il professore con cui volevo fare la tesi di laurea mi disse: “Va bene, puoi fare la tesi con me, ma devi aiutarmi col computer a fare certi calcoli.” Io ammisi che non sapevo nulla di computer, e lui mi rispose: “Impara.” E fu così che tutto cominciò.
Il giorno successivo acquistai il mio primo PC e da allora non ho mai smesso di ampliare le mie conoscenze, sviluppando, gestendo dati e, come disse il prof, imparando. Nemmeno durante la leva obbligatoria, quando realizzai, utilizzando anche i pomeriggi liberi, un programma per gestire tutta la logistica della base in cui mi trovavo, e che venne usato negli anni a seguire.
Ad oggi, ho acquisito ampia esperienza nelle tecniche di networking e nella gestione di datacenter, sistemi informativi e reti aziendali.
I dati sono sempre più il patrimonio fondamentale di un’azienda. Perderli, danneggiarli o farseli rubare comporta gravissimi danni: economici, legali e di immagine. Per questo collaboro con numerose aziende per mettere in campo strategie di Protezione dei Dati, Disaster Recovery e Business Continuity, permettendo alle stesse di azzerare i rischi legati alla distruzione, corruzione e trafugamento dei dati.
Sono inoltre consulente certificato Cyberment Srl nel campo della Sicurezza Informatica (Cybersecurity) per l’analisi dei rischi e delle vulnerabilità che minacciano i dati delle aziende.
Sono disponibile a collaborazioni professionali con Aziende che vogliano sviluppare e gestire progetti orientati all’area sistemistica, con forte interesse agli ambiti della Virtualizzazione, della Protezione dei dati e della Cybersecurity.