Il mittente è reale, ma l’Iban è dell’hacker: torna la truffa delle email “ritoccate”
Riescono a “bucare” la posta elettronica prelevando le fatture delle transazioni, sostituiscono l'Iban e inoltrano il messaggio; sembra che non ci sia nulla di strano, se non fosse per il fatto che il Conto appartiene a un perfetto sconosciuto. Parliamo degli attacchi hacker definiti Business email compromise (Bec). Sono già centinaia in Italia gli imprenditori e i clienti truffati in questo modo. Si calcola che questo genere di truffa abbia causato danni da un milione di euro. Le vittime più prelibate sono quelle che effettuano pagamenti sopra i 1.000 euro a grandi aziende, specialmente quelle che operano nel campo dell’edilizia. Stando a quanto afferma la Polizia postale non parliamo di un singolo truffatore, ma di diversi gruppi di hacker, questi si appoggiano a dei server stranieri. Intercettano i messaggi di posta studiando particolari parole chiave, come “fattura” o “pagamenti”, a questo punto le email in uscita vengono bloccate, modificate con l’Iban dei truffatori e reindirizzate al destinatario come se nulla fosse successo. Parliamo di un genere di frode che combina da un lato il phishing e dall’altro l’ingegneria sociale.
Cos’è il Business eMail compromise
Il Business email compromise (Bec) è una truffa basata sui bonifici bancari, solitamente quando vengono effettuate operazioni tramite fornitori situati all’estero. Sfrutta quindi gli account email aziendali o quelli pubblicamente disponibili dei dirigenti o impiegati. L’hacker deve quindi svolgere un lavoro di ingegneria sociale per portare a termine la truffa, gli occorre infatti conoscere bene la struttura aziendale e i rapporti di comunicazione tra chi vi lavora ad alto livello, o semplicemente avendo accesso a certi livelli, perché magari svolge mansioni di segreteria. I bonifici vengono così falsificati non appena le eMail delle transazioni vengono intercettate, o vengono fabbricate di sana pianta. Gli account possono essere compromessi tramite keylogger o il mero phishing, in modo da portare a termine trasferimenti di denaro fraudolenti che si pensa di inviare a fornitori o dirigenti, mentre invece fanno riferimento agli Iban dell’hacker malevolo. Si tratta di attacchi che possono provocare perdite di centinaia di migliaia di dollari/euro. Originariamente questo genere di hacker vennero soprannominati “Man in the Mail”, per ragioni facilmente intuibili.
Un precedente ai danni di Confindustria
Un esempio che potremmo definire da manuale è il Bec subito l’anno scorso da Confindustria. Ma anche il 2016 è stato un anno particolarmente prolifico per gli “uomini nella posta”. Il dirigente G.D. ha ricevuto una email dove una funzionaria dell’ente M.P. gli chiedeva di effettuare un bonifico urgente di 500.000 euro fornendo un Iban, con la raccomandazione di non essere chiamata per telefono in quanto era impegnata col Presidente in persona. Ma la mail non proveniva dalla donna e il conto non apparteneva a nessun contatto legato all'azienda di cui era dirigente, semplicemente il beneficiario era un perfetto sconosciuto. Chiunque fosse stato l'autore della truffa conosceva molto bene l’organigramma della dirigenza e le sue consuetudini. La fiducia quindi può valere più di una laurea in ingegneria informatica e l’hacker criminale non necessariamente deve manipolare immensi listati di codici per operare. Un esempio storico "hacker-ingegnere sociale" potrebbe essere il leggendario Condor che si fece beffa dei sistemi di controllo dell’Fbi.