17.12.2024 - Le aziende sono costantemente in contatto con i propri clienti, spesso via e-mail. Questo canale serve infatti a gestire molte attività: richieste ed elaborazione di progetti, inserimento di ordini, modalità di pagamento e di consegna. Con una buona dose d’impegno i truffatori possono utilizzare questo canale a loro vantaggio, ma prima hanno bisogno di ottenere alcune informazioni precise. Se il tentativo ha successo, il danno per la vittima può essere enorme. L’UFCS è stato recentemente informato di un caso molto interessante proprio in quest’ambito.
Il piano truffaldino
L’attacco, che comporta l’accesso non autorizzato alla posta elettronica aziendale, è noto nell’ambito della sicurezza informatica come «Business email compromise», o semplicemente «BEC».
Accedendo a un account aziendale gli aggressori possono reperire informazioni molto preziose:
- Fatture e informazioni sui pagamenti;
- Dati su progetti e clienti;
- Dettagli tecnici sui prodotti;
- Informazioni sulle relazioni con i clienti;
Le informazioni nel mirino degli aggressori cambiano a seconda delle loro intenzioni.
- La maggior parte dei casi noti di BEC riguarda il denaro:
Le fatture vengono manipolate (ad esempio con un nuovo beneficiario) e rispedite con un pretesto nella speranza che il destinatario della fattura proceda al pagamento. A seconda dell’importo, la vittima può subire un danno considerevole. - Dati tecnici e di ricerca:
I concorrenti o altre parti interessate potrebbero cercare di colmare il proprio ritardo tecnico ottenendo l’accesso a documenti sensibili. - Progetti e offerte:
Con queste informazioni un concorrente può, ad esempio, cercare di ottenere un vantaggio competitivo e aggiudicarsi ordini importanti.
Il caso segnalato all’UFCS e discusso in questa sede rientra probabilmente nell’ultimo punto: si tratta verosimilmente di una forma di spionaggio industriale.
Compromissione di un conto aziendale
Il primo passo consiste nel tentativo di accedere a un account di posta elettronica, preferibilmente quello di una persona che ha accesso ai documenti che interessano i malintenzionati. Possono essere dipendenti dell’ufficio contabilità, responsabili della ricerca, manager di progetto o membri della direzione.
In molti casi, i rapporti con i clienti e i rapporti di lavoro possono essere trovati direttamente sul sito web della rispettiva azienda o su LinkedIn.
Successivamente, la persona bersaglio riceve un’e-mail di phishing che chiede di inserire la password del proprio account di posta elettronica. In questo modo gli aggressori si avvicinano al loro obiettivo, almeno nei casi in cui non è attivata l’autenticazione a due fattori.
Accedendo all’account per la prima volta, i criminali cercano spesso di impostare regole di inoltro: in questo modo, ricevono una copia dell’intero traffico e-mail della vittima e possono rimanere inosservati più a lungo.
La macchina dell’inganno
In questo caso, gli autori si sono spinti oltre. Dopo l’accesso iniziale, hanno registrato domini dall’aspetto simile sia per i diversi clienti che per l’azienda interessata (ad esempio «azienda-x.ch»). A tal fine hanno utilizzato il dominio di primo livello «.cam». Ad esempio, il cliente «cliente-1.com» è diventato «cliente-1.cam», mentre il mandatario «azienda-x.ch» è diventato «azienda-x.cam», e così via.
Il dominio di primo livello «.cam» è attivo da diversi anni ed era originariamente destinato all’industria manifatturiera (CAM sta per «Computer Aided Manufacturing»). Oggi, tuttavia, viene utilizzata anche per la fotografia e il video («camera»). È stato fatto notare fin da subito che il dominio «.cam» poteva dare adito a fraintendimenti a causa della sua somiglianza con il diffuso dominio «.com». È proprio questo rischio di confusione a essere sfruttato in questo caso.
I truffatori possono ora inserirsi nella comunicazione tra il cliente e l’azienda e fingere di essere la controparte sia della vittima che del cliente. Ad esempio, scrivono un messaggio da «azienda-x.cam» con una richiesta a «cliente-1.com». I truffatori possono anche rinviare una possibile risposta (sempre a «azienda-x.cam») a «azienda-x.ch», ma ora con il mittente «cliente-1.cam», in modo che la risposta venga nuovamente instradata attraverso i canali dei truffatori.
Fortunatamente, questi casi sono rari e spesso vengono alla luce, ad esempio perché anche altri collaboratori del mandatario hanno contatti con il cliente, o perché le persone coinvolte si contattano anche telefonicamente, venendo a scoprire informazioni contraddittorie. Gli indirizzi e-mail contraffatti possono anche essere notati da qualcuno, oppure un amministratore di sistema attento può vedere l’accesso ai suoi sistemi di posta elettronica da indirizzi IP insoliti.
Nel caso riportato è stato così possibile evitare ripercussioni più gravi.
Raccomandazioni
- Sensibilizzate le persone in posizioni chiave a questo tipo di frode;
- Attivate l’autenticazione a due fattori sugli account (soprattutto quelli di posta elettronica) potenzialmente accessibili via Internet;
- Se possibile, limitate l’accesso a tali account a circoscrizioni di indirizzi più limitate, ad esempio agli indirizzi che possono essere assegnati alla Svizzera, oppure utilizzate una VPN;
- Controllate periodicamente le regole di inoltro dei vostri account e-mail;
- In caso di richieste di modifica delle operazioni di pagamento (ad esempio, nuovi conti bancari), accertatevene con il destinatario del pagamento, preferibilmente per telefono;
- In caso di manomissioni e perdite finanziarie, denunciate il caso alla polizia.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 17.12.2024
