I cybercriminali dedicano tempo a studiare l’organizzazione, analizzando le sue operazioni e identificando i dipendenti chiave che gestiscono i pagamenti o hanno accesso a dati sensibili. Spesso, i truffatori mirano a impiegati con funzioni finanziarie o amministrative, ma non disdegnano di prendere di mira anche nuovi assunti, che potrebbero non essere del tutto familiari con le procedure standard di sicurezza e gestione delle informazioni.
Una volta raccolte sufficienti informazioni, il malintenzionato si spaccia per un dirigente aziendale o un partner di fiducia, inviando email che sembrano autentiche ma contengono richieste fraudolente. Queste comunicazioni tendono a enfatizzare l’urgenza e la riservatezza, esortando la vittima a compiere azioni immediate, come autorizzare un pagamento o trasferire dati riservati, senza passare dai normali canali di verifica aziendale.
La truffa BEC si basa sulla manipolazione psicologica, facendo leva sul senso di responsabilità e sull’urgenza percepita, portando la vittima a ignorare i protocolli standard e ad eseguire l’azione richiesta prima di sospettare un inganno.
Tipologie di truffe BEC
Le truffe BEC (Business Email Compromise) sono diventate sempre più sofisticate, presentandosi in varie forme che colpiscono le aziende con tecniche diverse ma ugualmente pericolose. Le principali tipologie di truffa BEC includono:
- Truffa del CEO: questa è una delle forme più comuni e devastanti. I criminali digitali si impegnano a creare email che sembrano provenire da una figura di alto livello, come il CEO o un altro dirigente di rilievo dell’azienda. Utilizzando tecniche di spoofing o compromettendo direttamente l’account del dirigente, inviano comunicazioni ai dipendenti, spesso del dipartimento finanziario, con istruzioni urgenti per trasferire fondi su conti controllati dai truffatori. In alcuni casi, viene chiesto di acquistare buoni regalo, che poi i criminali richiedono di riscattare fornendo i numeri di serie, rendendo il recupero dei fondi quasi impossibile;
- Invio di una falsa fattura: in questo scenario, i truffatori si spacciano per un fornitore legittimo con cui l’azienda ha una relazione consolidata. Inviando una fattura che sembra autentica ma con dettagli di pagamento alterati, i criminali riescono a far dirottare il pagamento su conti fraudolenti. Un’altra variante di questa truffa può comportare la richiesta di inviare il pagamento a una nuova banca, con la scusa di verifiche o problemi con l’istituto di credito abituale;
- Compromissione dell’account: questa strategia prevede l’uso di malware o attacchi di phishing per ottenere l’accesso a un account email aziendale, spesso appartenente a un dipendente del reparto contabilità o amministrativo. Una volta ottenuto l’accesso, i truffatori possono inviare email direttamente dai sistemi aziendali, ingannando fornitori o altri partner commerciali. Queste email possono richiedere pagamenti o la condivisione di informazioni riservate, il tutto apparentemente provenendo da una fonte legittima;
- Finti avvocati: in questo tipo di truffa, i criminali si fingono avvocati o rappresentanti legali, approfittando della fiducia e della riservatezza che solitamente caratterizzano i rapporti con i legali. Questi truffatori inviano richieste urgenti per il pagamento di fatture o per la condivisione di informazioni sensibili, sfruttando il fatto che una richiesta da parte di un avvocato potrebbe non destare sospetti, soprattutto se accompagnata da un senso di urgenza o riservatezza.
Oltre a queste tipologie principali, le truffe BEC possono anche includere varianti ibride o combinazioni di questi metodi, tutte accomunate dall’obiettivo di ingannare la vittima e ottenere guadagni illeciti. Le aziende devono essere costantemente vigili e introdurre rigorose procedure di verifica per prevenire questi attacchi, come l’autenticazione a due fattori, la formazione continua del personale e controlli incrociati sulle richieste di pagamento.
Come difendersi dalle truffe BEC: consigli utili
I campanelli di allarme di una truffa BEC possono essere sottili ma riconoscibili se si presta attenzione. Tra i segnali più comuni vi sono: richieste inusuali di trasferimenti di denaro, soprattutto se provenienti da dirigenti che non sono soliti inviare tali richieste; cambiamenti improvvisi nelle modalità di pagamento dei fornitori; email con toni urgenti che richiedono discrezione e immediatezza; e lievi variazioni negli indirizzi email, che possono passare inosservate se non si è particolarmente attenti.
Per proteggersi da questo tipo di attacchi, è essenziale adottare misure di sicurezza adeguate, come l’adozione dell’autenticazione a due fattori, la formazione continua del personale sulla sicurezza informatica e l’istituzione di procedure rigide per la verifica delle transazioni finanziarie. Inoltre, è importante sensibilizzare tutti i dipendenti, in particolare quelli con accesso a informazioni sensibili o a funzioni finanziarie, sui rischi associati alle email non verificate e sulla necessità di confermare sempre le richieste di trasferimento di denaro tramite un secondo canale di comunicazione.