Negli ultimi tre anni, secondo l’FBI, gli attacchi CEO Fraud hanno provocato alle aziende danni per 26 miliardi di dollari. Una cifra astronomica che, secondo gli esperti di sicurezza, potrebbe crescere ulteriormente nei prossimi mesi. Per difendersi, le imprese devono agire su due fronti: mettere in campo strumenti informatici adeguati e prevedere procedure di controllo rigorose nei processi aziendali.
Come funziona la CEO Fraud o truffa del CEO
Da un punto di vista squisitamente tecnico, la CEO Fraud è una truffa basata sull’impersonificazione dell’amministratore delegato o di un alto dirigente da parte dei pirati informatici. L’obiettivo finale è quello di inviare una falsa comunicazione che sembri arrivare dal CEO per ordinare un pagamento che, naturalmente, finirà nelle loro tasche. Il punto di partenza della strategia di attacco dei cyber criminali, in questo caso, è normalmente il furto delle credenziali di accesso a strumenti di comunicazione (tipicamente la posta elettronica) della vittima, utilizzando tecniche di spear phishing o attacchi più “aggressivi” che sfruttano trojan in grado di sottrarre username e password. Una volta che si sono garantiti la possibilità di utilizzare l’account di posta elettronica della vittima, i pirati informatici sono pronti per colpire.
CEO Fraud: la fase di studio
Per mettere a segno la CEO Fraud, i cyber criminali mettono in atto per prima cosa una fase di analisi del bersaglio. Il loro obiettivo, infatti, è quello di avere la massima credibilità. Grazie all’accesso alla casella di posta elettronica, possono leggere tutta la corrispondenza della vittima e farsi un’idea dei processi interni all’azienda: individuare i responsabili dei pagamenti, conoscere le procedure e anche studiare il modo in cui avvengono le comunicazioni tra dirigenti e impiegati. In questo modo sapranno, per esempio, se gli scambi via mail usano un tono formale o più “casual”, oltre a registrare informazioni che possono risultargli utili per impersonare la vittima senza destare sospetti. Spesso, utilizzano questa fase anche per scegliere il momento in cui portare l’attacco, sfruttando per esempio un periodo di ferie del CEO in cui questi è difficilmente raggiungibile.
La strategia del CEO phishing
Nel definire il “colpo” vero e proprio, i pirati possono adottare tattiche diverse. In alcuni casi scelgono di utilizzare la via più semplice e diretta, scegliendo di inviare al responsabile dell’amministrazione un ordine di pagamento che ha come destinatario un fornitore abituale, ma che contiene coordinate bancarie alterate ad arte in modo che il pagamento finisca sul loro conto corrente. Il rischio di questa strategia è che l’impiegato potrebbe notare che il pagamento punta a un IBAN diverso dal solito e scoprire la truffa. L’alternativa è quella di creare schemi più elaborati, che prevedono pagamenti a soggetti completamente nuovi. Per dare maggiore credibilità al tutto, i truffatori forniscono spesso dettagliate documentazioni e possono arrivare anche a usare contatti telefonici per dare una parvenza di credibilità all’intera operazione per arrivare alla “stangata” finale.
Le contromisure per difendersi dalla CEO Fraud
Il contrasto alla CEO Fraud avviene su due livelli: il primo è preventivo e richiede l’utilizzo di strumenti di protezione come l’autenticazione multi-fattore e l’uso di tecniche di rilevamento (le più evolute sono basate su intelligenza artificiale e machine learning) in grado di individuare gli attacchi basati su spear phishing e malware. Altrettanto importanti, sotto questo profilo, sono gli strumenti che consentono di monitorare l’accesso alla casella di posta elettronica in grado di rilevare attività anomale come il collegamento da stati esteri. Il secondo aspetto, sempre afferente alla cyber security ma declinato questa volta in un’ottica di organizzazione aziendale, prevede sia un’attività di awareness che permetta di sensibilizzare dirigenti e impiegati nei confronti del rischio relativo alla CEO Fraud, sia l’adozione di policy e procedure che prevedano, per gli ordini di pagamenti, controlli incrociati (ad esempio per la verifica delle coordinate bancarie dei fornitori) e la richiesta di autorizzazioni da parte di più soggetti per l’esecuzione dei pagamenti.
