CEO Fraud, letteralmente “la truffa del CEO” è uno degli attacchi informatici più insidiosi degli ultimi tempi e colpisce soprattutto le aziende meno attive sul fronte della security awareness. Formalmente si chiama BEC (Business E-mail Compromise) e si verifica quando, all’interno di una conversazione e-mail, il malintenzionato finge di essere un top manager dell’azienda al fine di ottenere benefici indebiti come il trasferimento di una somma di denaro, credenziali, informazioni o documenti riservati.
CEO Fraud è un attacco pericoloso, capace di danni ingenti e anche piuttosto frequente. Nel Rapporto Clusit del 2020, la tecnica di attacco che è cresciuta di più è phishing/social engineering con un +81,9%: gli analisti spiegano che una quota crescente di questi attacchi riguarda proprio la BEC Fraud, ovvero la “truffa del CEO”, che dallo schema semplificato di cui sopra è evoluta diventando estremamente sofisticata. Secondo AFP Payments Fraud and Control Survey Report, la BEC Fraud è la prima fonte di frode nel macrocosmo dei pagamenti.
Tornando al rapporto Clusit, rampa di lancio fu la pubblicazione, a inizio 2019, di #Collection1, un pacchetto di 700 milioni di indirizzi e-mail e decine di milioni di password, cosa che semplificò il lavoro dei malintenzionati e rese CEO Fraud una tecnica frequente. Nonostante le infinite varianti, fa sempre parte dello schema della BEC Fraud una componente di social engineering: la vittima deve ritenere che il mittente dell’e-mail sia effettivamente il manager autorizzato a richiedere il trasferimento di denaro o qualsiasi altra azione gli dia poi un beneficio diretto o indiretto. Molto spesso, infatti, l’attacco è preceduto da una fase di studio dell’azienda, dei processi e delle relazioni in essere, ma anche da un’attività di comunicazione diretta (e-mail) con la vittima stessa, così da creare un rapporto di fiducia funzionale all’esecuzione della truffa.
A testimonianza della pericolosità di CEO Fraud ci sono i danni che è in grado di provocare. Danni economici, innanzitutto: secondo l’ultimo Rapporto Clusit, parliamo di 12 miliardi di dollari negli ultimi 5 anni, con circa 80.000 incidenti distribuiti su 150 nazioni. Come anticipato, i BEC Scam rientrano nel Social Engineering, che è la tecnica di attacco col maggiore tasso di crescita rispetto allo scorso anno.
Passando all’Internet Crime Report dell’FBI, nel solo 2019 sono stati segnalati 23.775 casi di BEC, per un totale di circa 1.7 miliardi di dollari di perdite effettive. Lo stesso documento spiega che lo schema può raggiungere livelli estremamente sofisticati: dal CEO si passa a finti fornitori, clienti, collaboratori, studi legali e, ovviamente, a ogni genere di combinazione finalizzata a truffe di alto livello. Relativamente al 2019, si segnala poi un aumento di e-mail fraudolente da parte di finti impiegati verso gli uffici HR: l’obiettivo, rafforzato dal social engineering, è richiedere una modifica urgente delle coordinate bancarie presso cui accreditare lo stipendio, coordinate che puntano a carte prepagate.
Negli ultimi anni non sono mancati i casi eclatanti, come quello di Toyota che nel 2019 subì un danno economico pari a circa 37 milioni di dollari a causa di “istruzioni di pagamento fraudolente da parte di malintenzionati”; stessa sorte, ma con perdite inferiori, per Save The Children, il cui danno venne quantificato in circa 800.000 sterline; e per il gruppo francese Pathé, vittima di una truffa molto sofisticata che le costò circa 19 milioni di euro.
Il costo della CEO Fraud, o BEC Fraud che dir si voglia, non si esaurisce nelle perdite finanziarie: se i criminali impiegano lo schema per colpire fornitori, partner, clienti o qualsiasi soggetto con cui l’azienda intrattiene rapporti di business, il danno a livello di reputation può essere estremamente elevato, difficile da recuperare e molto costoso per via delle successive attività di compensazione. Il financial loss può portare a licenziamenti e di sicuro a un sentimento di sfiducia da parte dei dipendenti poiché l’azienda non è stata in grado di proteggersi da rischi adeguatamente conosciuti.
Come anticipato, non esiste un solo schema per attuare quello che a tutti gli effetti è un CEO Phishing. La modalità più comune è il furto delle credenziali di accesso alla casella e-mail e il contestuale invio di una comunicazione dispositiva al responsabile amministrativo dell’azienda. Per accelerare l’esecuzione del bonifico, il finto CEO potrebbe ordinare un pagamento verso una società ben conosciuta, modificando semplicemente l’IBAN di riferimento.
Come facilmente immaginabile, quello appena riportato è lo schema più semplice e relativamente semplice da prevenire. In tal caso, infatti, è più che sufficiente un’awareness di base o un sistema automatizzato di controllo per prevenire danni ingenti. CEO Phishing, però, può spingersi molto più in là: all’interno delle conversazioni e-mail possono essere introdotti dettagli della vita privata del CEO, così da rendere il tutto più autentico; il truffatore può fare leva sul senso di urgenza e sulla riservatezza dell’interlocutore per spingerlo a un pagamento rapido; possono essere impersonificati anche altri dirigenti e coinvolti in articolati scambi di e-mail, così da trarre più facilmente in inganno le vittime. Ogni giorno nascono meccanismi nuovi di CEO Phishing, sempre più sottili, elaborati ed efficaci: la casistica esistente è soltanto un punto di partenza per elaborare strategie di difesa basate sulla consapevolezza, sul rispetto delle policy e su un po’ di sana diffidenza.
Partiamo col dire che BEC colpisce solitamente le aziende più vulnerabili a livello di security posture. Infatti, già solo il fatto che un bonifico richieda l’autorizzazione di più persone rende meno efficace una CEO Fraud elementare. Inoltre, il vettore è sempre l’e-mail, uno strumento che le aziende dall’alto livello di maturità digitale usano molto meno di un tempo per la gestione dei rapporti interni. Non mancano poi strumenti tecnici dedicati alla prevenzione: procedure anti frode, analisi dell’e-mail, dei domini - talvolta, le e-mail fraudolente arrivano da domini simili a quello dell’azienda, come esemp1o anziché esempio -, strumenti di protezione degli account e-mail come le autenticazioni multi-fattore, utilizzo dello standard DKIM per evitare lo spoofing, l’impiego di un Sender Policy Framework e molto altro.
Ciò che non può mancare, a prescindere da tutti gli strumenti tecnici di protezione, è la conoscenza. O meglio, la consapevolezza. CEO Fraud esiste, funziona e i numeri lo dimostrano: è fondamentale che chiunque lavori per l’azienda – manager inclusi – sappia riconoscere una richiesta sospetta, magari motivata da urgenza o un’altra leva psicologica, si ponga tutti gli interrogativi del caso e mostri una sana diffidenza nei confronti di comportamenti anomali. Ma visto che le tecniche cambiano ed evolvono, solo un’attività continua di security awareness, aggiornata sulle ultime tecniche di attacco e comprensiva di simulazioni, può rendere l’azienda all’altezza delle sfide di oggi e di domani.