Business E-mail Compromise: le truffe del falso IBAN via e-mail

Oggi è possibile modificare l’Iban contenuto in una e-mail o in altri tipi di comunicazione senza che l’utente se ne accorga in tempo utile.

Truffe di questo tipo avvengono ogni giorno, anche se solo alcune hanno avuto rilievo mediatico, come quella di 2 milioni di Euro ai danni di A.S. Lazio per l’acquisto del calciatore S. Vrij o quella da 500mila Euro subita da un dirigente di Confindustria.

Due esempi questi di truffe altamente targettizzate avvenute tramite e-mail. Nel primo caso l’hacker aveva riprodotto esattamente logo, stile e tono della controparte, modificando semplicemente il codice Iban; nel secondo invece, dopo aver creato una finta casella di posta a nome della direttrice generale, l’hacker ha iniziato uno scambio di e-mail con il dirigente truffato alla fine delle quali si richiedeva un bonifico immediato su uno specifico conto corrente.

Altro tipo di truffe è quella che prevedere il cosiddetto man in the middle. In tal caso, per esempio, due aziende vengono contattate da un truffatore che farà da intermediario occulto: tutte le e-mail scambiate tra le due vittime transiteranno dai suoi sistemi senza che queste se ne accorgano e nel momento in cui una delle due aziende comunicherà i dati di pagamento, il man in the middle procederà a modificare le coordinate bancarie presenti nei messaggi, truffando entrambe.

Le due aziende crederanno di parlare direttamente tra loro senza sapere che nella loro comunicazione c’è uno step intermedio: “l’uomo nel mezzo”.

Recentemente in Inghilterra, le aziende si sono trovate coinvolte in un altro tipo di truffa, molto semplice ma efficace: la truffa ai team delle Risorse Umane. In questo caso, i truffatori, creando una finta casella di posta di un dipendente o direttamente hackerando la casella mail di un dipendente reale, inviano un’e-mail all’ufficio Risorse Umane per comunicare il cambio di Iban in vista del successivo accredito dello stipendio. Tutti i pagamenti vengono così accreditati su un diverso conto corrente che viene prontamente svuotato. Il denaro inizia un iter di transazioni molto difficili da tracciare e recuperarlo diventa quasi impossibile.

In tutti questi casi, l’errore più grande rimane sempre lo stesso: la poca prudenza da parte dell’utente che presta poca attenzione ai requisiti di sicurezza e non fa caso a quei dettagli, difficili ma non impossibili da individuare, che potrebbero salvarlo dalla truffa.

Per questo ai nostri utenti consigliamo sempre di fare sempre molta attenzione alle e-mail ricevute e, in caso di cambiamenti, di essere sempre scrupolosi.