Tra gli attacchi informatici che sfruttano il social engineering, la truffa del CEO, conosciuta anche come CEO Fraud, è uno dei più subdoli. Ma di cosa si tratta?

Per ottenere denaro o informazioni riservate, come credenziali, i criminal hacker si fingono figure manageriali chiave dell’azienda. Per attuare la truffa del CEO i malintenzionati agiscono tramite e-mail, infatti l’attacco rientra nella categoria BEC (Business E-mail Compromise).

Chi sono le vittime? Soprattutto le aziende meno consapevoli sui temi della sicurezza informatica, in particolare sulla security awareness.

Dopo l’exploit del 2020, nella prima metà del 2021 la tecnica di attacco del phishing/social engineering è in leggero calo (-13%) secondo l’ultimo Rapporto Clusit (2021): ciononostante le aziende non devono ritenere la truffa del CEO un attacco meno pericoloso. Di fatto, gli attacchi BEC scam si sono trasformati e diventano di giorno in giorno più sofisticati.

 

Caratteristiche della truffa del CEO

In questo tipo di attacco, la fase di preparazione e ricerca da parte dei malintenzionati è quella che fa la differenza. Come in ogni attacco che usa il social engineering, infatti, lo studio dell’azienda, dei processi e delle relazioni in essere sono cruciali. In alcuni casi viene avviata anche un’attività di comunicazione diretta (e-mail) con la vittima stessa, così da creare un rapporto di fiducia funzionale all’esecuzione della truffa. La vittima sarà così più incline a ritenere che il mittente dell’e-mail sia effettivamente il manager autorizzato a richiedere il trasferimento di denaro o qualsiasi altra azione gli dia poi un beneficio diretto o indiretto.

Come scritto in precedenza, lo schema BEC scam, in cui rientra la truffa del CEO, può raggiungere livelli estremamente sofisticati: dal personale interno all’azienda, come top manager e CEO, si passa a finti fornitori, clienti o collaboratori.

Nel 2020 sono aumentati i casi di furti d’identità e fondi rubati convertiti poi in criptovaluta. I criminali sono stati in grado di carpire informazioni sull’identità delle vittime prima di attuare la truffa. Con queste informazioni creavano un conto in banca intestato alla persona che poi avrebbero impersonato nella truffa. Sul conto ricevevano i fondi trasferiti attraverso la truffa BEC e infine li passavano a un conto in criptovaluta.

Secondo  l’Internet Crime Report dell’FBI, soltanto nel 2020 sono stati segnalati 19.369 casi di BEC, che è risultato essere l’attacco più costoso con un totale di circa 1.8 miliardi di dollari di perdite effettive.

I costi della truffa del CEO non si limitano alle perdite pecuniarie: si devono mettere in conto anche i danni di immagine e reputazione, derivanti dal coinvolgimento dei contatti dell’azienda. 

 

Consigli per difendersi dalla truffa del CEO

Il primo passo è prestare maggiore attenzione alla cultura di sicurezza informatica presente in azienda.

Da un lato, l’azienda dovrà prevedere misure concrete come, per esempio, l’autorizzazione di più persone per convalidare un bonifico: un’azione semplice, ma molto efficace per bloccare i tentativi di truffa del CEO più elementari.

Essendo l’e-mail il vettore di questo tipo di attacco informatico, sarà poi fondamentale adottare strumenti tecnici dedicati alla prevenzione: procedure di analisi dell’e-mail e dei domini, strumenti di protezione degli account e-mail come le autenticazioni multi-fattore, utilizzo dello standard DKIM per evitare lo spoofing, l’impiego di un Sender Policy Framework, ecc.

 

Dall’altro tutti devono essere consapevoli di cosa sia la truffa del CEO e devono saper riconoscere una richiesta sospetta. Aumentare il livello di security awareness, con un adeguato percorso continuativo, incrementerà l’efficacia delle misure di difesa presenti, consolidando la security posture aziendale.

Scopri come Security Awareness rende la tua azienda più sicura.