L’Agenzia per la Cybersicurezza Nazionale (ACN) ha lanciato il portale per la registrazione NIS2 online,…
Cos’è la “truffa del CEO” e come proteggersi
La Business Email Compromise (BEC) è un tipo di truffa basata sull’inganno con cui si induce un manager o un dipendente di un’azienda a fare un bonifico verso un conto corrente. Questa truffa è conosciuta come “truffa del CEO”.
In questo articolo, esploreremo cosa è la truffa BEC, come funziona e, soprattutto, come proteggere la tua azienda da questo tipo di attacco.
Cos’è la truffa BEC
La compromissione della posta elettronica aziendale è un tipo di crimine informatico in cui il truffatore utilizza la posta elettronica per indurre qualcuno a inviare denaro o a divulgare informazioni aziendali riservate.
La truffa consiste in una falsa mail proveniente dell’account di posta elettronica di una figura ai vertici dell’azienda in cui si richiede di effettuare urgentemente un bonifico a un determinato destinatario o si spinge la vittima a divulgare informazioni aziendali/personali riservate, il tutto in via strettamente confidenziale.
È una truffa non dissimile dal phishing ma, mentre quest’ultime possono essere facilmente individuate a causa dei filtri phishing, gli schemi BEC si basano sull’attività umana.
Come funziona la truffa BEC
Come la maggior parte degli attacchi phishing, anche le truffe BEC presentano una serie di caratteristiche tipiche, che dovrebbero far drizzare le antenne agli utenti nel caso in cui tali email dovessero riuscire a raggiungere le caselle di posta elettronica aziendali:
- Dirigenti aziendali di alto livello che richiedono informazioni insolite. Se viene del tutto naturale rispondere prontamente a un’email proveniente dai piani alti dell’azienda, è bene soffermarsi un momento a valutare se la richiesta che ci viene fatta nel messaggio sia legittima oppure potrebbe nascondere qualcosa di strano.
- Raccomandazioni a mantenere confidenziale la comunicazione.Nelle truffe BEC, i cybercriminali raccomandano spesso alle vittime, di mantenere segreta la comunicazione appena ricevuta e di comunicare solo via email.
- Richieste che bypassano i canali tradizionali.La maggior parte delle aziende dispone di sistemi di contabilità, all’interno di cui deve transitare qualsiasi fattura o pagamento, indipendentemente da quanto urgente sia la richiesta. Quando questi canali vengono bypassati da un’email che proviene direttamente dalla direzione aziendale, come ad esempio un bonifico urgente da pagare il prima possibile, è bene fare molta attenzione.
- Testo del messaggio scritto in un italiano impreciso o date scritte in un formato insolito.In generale, la presenza di date scritte in un formato americano ad esempio, del tipo mese-giorno-anno, anziché italiano, oppure la presenza di frasi che suonano come fossero state scritte da una persona non italiana, deve far scattare subito un campanello d’allarme, perché sono segni piuttosto comuni in questo genere di truffe.
5 consigli per proteggersi dalle truffe BEC
Ecco 5 consigli pratici per mantenere al sicuro i tuoi dati e la tua azienda.
- Controllare gli indirizzi e-mail anche per minime discrepanze
Un trucco comune utilizzato dagli hacker consiste nel modificare leggermente gli indirizzi e-mail per farli sembrare legittimi, come ad esempio il nome puntato piuttosto che esteso.
- Impostare l’autenticazione a due fattori per gli account di posta elettronica dell’azienda
L’autenticazione a più fattori garantisce che, anche se un hacker ha accesso alle credenziali di posta elettronica, avrà comunque bisogno di accedere a un’app di autenticazione (di solito su un dispositivo mobile). Questo aggiunge un ulteriore livello di sicurezza.
- Impostare un sistema di convalida per le richieste di pagamento
Stabilire una procedura di conferma per le richieste di trasferimento fondi, attraverso canali diversi dalle email, come una telefonata o una conferma di persona.
- Fare formazione costante agli utenti
Se terrete costantemente aggiornati i dipendenti sulle nuove minacce, potranno riconoscere più facilmente segnali di phishing, email sospette e richieste finanziarie fraudolente.
- Implementare soluzioni all’avanguardia di anti-phishing
Adottare soluzioni avanzate che riconoscano e blocchino email sospette, link fraudolenti e allegati dannosi prima che possano causare danni.
Conclusioni
Non lasciare che la tua azienda cada vittima di questa truffa. Sii proattivo nella protezione del tuo business, investi nella sicurezza informatica e mantieniti informato sulle ultime minacce. La sicurezza aziendale è una responsabilità condivisa, e affrontare la truffa BEC richiede un impegno totale da parte di tutta l’organizzazione.
La formazione, l’implementazione di tecnologie di sicurezza avanzate e una cultura aziendale attenta alla sicurezza sono componenti chiave nella lotta contro il cyber crime.