Categorie: Cyber Security

CEO Fraud, letteralmente “la truffa del CEO” è uno degli attacchi informatici più insidiosi degli ultimi tempi e colpisce soprattutto le aziende meno attive sul fronte della security awareness. Formalmente si chiama BEC (Business E-mail Compromise) e si verifica quando, all’interno di una conversazione e-mail, il malintenzionato finge di essere un top manager dell’azienda al fine di ottenere benefici indebiti come il trasferimento di una somma di denaro, credenziali, informazioni o documenti riservati.

CEO Fraud è un attacco pericoloso, capace di danni ingenti e piuttosto frequente. Nell’ultimo Rapporto Clusit (2020), la tecnica di attacco che è cresciuta di più è phishing/social engineering con un +81,9%: gli analisti spiegano che una quota crescente di questi attacchi riguarda proprio i BEC Scam, ovvero la “truffa del CEO”, che dallo schema semplificato di cui sopra è evoluta diventando estremamente sofisticata. Rampa di lancio fu la pubblicazione, a inizio 2019, di #Collection1, un pacchetto di 700 milioni di indirizzi e-mail e decine di milioni di password, cosa che semplificò il lavoro dei malintenzionati e rese CEO Fraud una tecnica frequente. Nonostante le infinite varianti, fa sempre parte dello schema una componente di social engineering: la vittima deve ritenere che il mittente dell’e-mail sia effettivamente il manager autorizzato a richiedere il trasferimento di denaro o qualsiasi altra azione gli dia poi un beneficio diretto o indiretto. Molto spesso, infatti, l’attacco è preceduto da una fase di studio dell’azienda, dei processi e delle relazioni in essere, ma anche da un’attività di comunicazione diretta (e-mail) con la vittima stessa, così da creare un rapporto di fiducia funzionale all’esecuzione della truffa.

 

Il costo della CEO Fraud: 12 miliardi di dollari in 5 anni

A testimonianza della pericolosità di CEO Fraud ci sono i danni che è in grado di provocare. Danni economici, innanzitutto: secondo l’ultimo Rapporto Clusit, parliamo di 12 miliardi di dollari negli ultimi 5 anni, con circa 80.000 incidenti distribuiti su 150 nazioni. Come anticipato, i BEC Scam rientrano nel Social Engineering, che è la tecnica di attacco col maggiore tasso di crescita rispetto allo scorso anno.

Passando all’Internet Crime Report dell’FBI, nel solo 2019 sono stati segnalati 23.775 casi di BEC, per un totale di circa 1.7 miliardi di dollari di perdite effettive. Lo stesso documento spiega che lo schema può raggiungere livelli estremamente sofisticati: dal CEO si passa a finti fornitori, clienti, collaboratori, studi legali e, ovviamente, a ogni genere di combinazione finalizzata a truffe di alto livello. Relativamente al 2019, si segnala poi un aumento di e-mail fraudolente da parte di finti impiegati verso gli uffici HR: l’obiettivo, rafforzato dal social engineering, è richiedere una modifica urgente delle coordinate bancarie presso cui accreditare lo stipendio, coordinate che puntano a carte prepagate.

Negli ultimi anni non sono mancati i casi eclatanti, come quello di Toyota che nel 2019 subì un danno economico pari a circa 37 milioni di dollari a causa di “istruzioni di pagamento fraudolente da parte di malintenzionati”; stessa sorte, ma con perdite inferiori, per Save The Children, il cui danno venne quantificato in circa 800.000 sterline; e per il gruppo francese Pathé, vittima di una truffa molto sofisticata che le costò circa 19 milioni di euro.

Il costo della CEO Fraud, o BEC che dir si voglia, non si esaurisce nelle perdite finanziarie: se i criminali impiegano lo schema per colpire fornitori, partner, clienti o qualsiasi soggetto con cui l’azienda intrattiene rapporti di business, il danno a livello di reputation può essere estremamente elevato, difficile da recuperare e molto costoso per via delle successive attività di compensazione. Il financial loss può portare a licenziamenti e di sicuro a un sentimento di sfiducia da parte dei dipendenti poiché l’azienda non è stata in grado di proteggersi da rischi adeguatamente conosciuti.

 

Come ci si difende da una CEO Fraud

Partiamo col dire che BEC colpisce solitamente le aziende più vulnerabili a livello di security posture. Infatti, già solo il fatto che un bonifico richieda l’autorizzazione di più persone rende meno efficace una CEO Fraud elementare. Inoltre, il vettore è sempre l’e-mail, uno strumento che le aziende dall’alto livello di maturità digitale usano molto meno di un tempo per la gestione dei rapporti interni. Non mancano poi strumenti tecnici dedicati alla prevenzione: procedure anti frode, analisi dell’e-mail, dei domini - talvolta, le e-mail fraudolente arrivano da domini simili a quello dell’azienda, come esemp1o anziché esempio -, strumenti di protezione degli account e-mail come le autenticazioni multi-fattore, utilizzo dello standard DKIM per evitare lo spoofing, l’impiego di un Sender Policy Framework e molto altro.

Ciò che non può mancare, a prescindere da tutti gli strumenti tecnici di protezione, è la conoscenza. O meglio, la consapevolezza. CEO Fraud esiste, funziona e i numeri lo dimostrano: è fondamentale che chiunque lavori per l’azienda – manager inclusi – sappia riconoscere una richiesta sospetta, magari motivata da urgenza o un’altra leva psicologica, si ponga tutti gli interrogativi del caso e mostri una sana diffidenza nei confronti di comportamenti anomali. Ma visto che le tecniche cambiano ed evolvono, solo un’attività continua di security awareness, aggiornata sulle ultime tecniche di attacco e comprensiva di simulazioni, può rendere l’azienda all’altezza delle sfide di oggi e di domani.

CTA-white-paper-business-resilience