Come perdere mezzo milione di euro attraverso la mail e accorgersene quando è troppo tardi
A fine aprile 2015 un blitz della Guardia di Finanza ha portato alla luce una rete d’individui con base in Italia accusati di riciclaggio dei proventi di attività illecite. In piccola parte, tali attività consistevano nel raggirare vittime inconsapevoli basandosi sulla fiducia generata da relazioni sentimentali a distanza. Gran parte dei proventi invece è derivata da un’attività di truffa a danno di aziende basata sull’intercettazione della posta elettronica e la richiesta di emissione di bonifici bancari, che in Italia sta mietendo centinaia di vittime con perdite di diversi milioni di euro.
La dinamica è la stessa da circa due anni: i delinquenti s’inseriscono nella posta elettronica di aziende prescelte e per alcuni mesi ne studiano le comunicazioni, le abitudini, i clienti e i fornitori. Al momento più opportuno, inviano all’azienda o a loro clienti una richiesta di bonifico verso un IBAN che tengono sotto il loro controllo. La motivazione del bonifico richiesto è il pagamento di merce da spedire o ricevere, che magari l’azienda truffata era effettivamente in procinto di vendere o di acquistare. A un certo punto della comunicazione, l’azienda truffata riceverà una mail come questa, offuscata per anonimizzarne i dettagli poiché proveniente da una truffa reale.
Purtroppo, la modifica anche all’ultimo minuto degli IBAN su cui fare bonifici non è rara in ambito d’import/export: le aziende ci confermano che spesso per i motivi più disparati ricevono dai loro fornitori richieste di cambio IBAN, del tutto legittime. Per questo motivo la quasi maggioranza delle aziende colpite cade vittima del raggiro. In Italia il fenomeno ha assunto dimensioni degne di attenzione nella seconda metà nel 2014, con un netto aumento delle truffe nel 2015 ma soprattutto con perdite economiche sempre più di rilievo. A più di un’azienda che ci ha contattati sono stati sottratti oltre mezzo milione di euro, talvolta suddivisi in diversi bonifici anche verso IBAN differenti.
Le modalità con le quali i criminali eseguono accesso abusivo nelle caselle di posta delle aziende o dei fornitori sono tipicamente tre:
- Tramite phishing: inviando messaggi di posta elettronica che richiedono l’inserimento delle credenziali della casella email su un sito web;
- Tramite brute forcing: con tentativi ripetuti di accesso alla casella di posta mirati a identificare la password corretta e accedere all’account;
- Tramite infection: mediante malware inviati come allegato ad una mail o scaricabili da link contenuti nei messaggi stessi.
Una volta entrati nel sistema di posta o nella casella email dell’interessato, i criminali spieranno le comunicazioni, talvolta inserendo dei filtri d’inoltro così da nascondere le email ricevute dai fornitori o dai clienti originali.
Tipicamente, i delinquenti registrano domini molto simili a quelli delle aziende truffate, modificando il dominio inserendo o rimuovendo una lettera, o ancora registrando domini di primo livello al posto di quelli locali o viceversa Ovviamente il nome del mittente nelle email inviate sarà quello del vero proprietario della casella, così che soltanto un’attenta analisi dell’intestazione RFC822 delle mail possa rivelare la truffa.
Nel momento in cui la vittima risponde a una mail “esca” che sembra arrivare da un contatto noto – inserendo quindi in automatico l’indirizzo del mittente in rubrica – diventerà impossibile accorgersi della truffa. La ragione è che i client di posta nascondono l’indirizzo del mittente mostrando soltanto il nome che egli ha indicato esplicitamente durante la configurazione dell’account.
La vittima quindi non noterà l’indirizzo del mittente “falso” e risponderà convinto di essere all’interno di uno scambio di email fidato con il “vero” fornitore, giungendo infine a emettere uno o più bonifici. Il problema è che le aziende truffate si accorgono del raggiro soltanto dopo qualche settimana, quando il loro fornitore “vero” riesce a farsi sentire in qualche modo per sollecitare il pagamento che lui non ha effettivamente ricevuto.
Per questo motivo, è importantissimo prestare attenzione al mittente delle mail che si ricevono, soprattutto se s’intende rispondere direttamente, senza digitare a mano l’indirizzo.
Altro consiglio è quello di eseguire una telefonata per verificare la legittimità della richiesta di modifica dell’IBAN o dello SWIFT su cui fare il bonifico.
Dal punto di vista tecnico, suggeriamo poi di verificare periodicamente gli accessi alle proprie caselle di posta elettronica e l’assenza di filtri d’inoltro impostati nella configurazione. Sempre valido poi il consiglio di mantenere in sicurezza i propri sistemi e utilizzare per la propria email password complesse, eventualmente supportate da sistemi di autenticazione a due fattori che richiedano un PIN di conferma via SMS o App sul cellulare.
A cura di: Paolo Dal Checco
Articolo pubblicato sulla rivista ICT Security – Maggio 2015
Consulente Informatico Forense, socio CLUSIT e IISFA, tra i fondatori delle Associazioni ONIF
Paolo Dal Checco svolge attività di Consulenza Tecnica in ambito forense collaborando con Procure, Tribunali e Forze dell'Ordine oltre che con aziende, privati e Avvocati. Dopo la Laurea, durante il corso del Dottorato in Informatica, ha approfondito le problematiche di crittografia operando poi per alcuni anni dopo il conseguimento del titolo in ambito di sicurezza delle comunicazioni per un’azienda privata. Successivamente a questa esperienza, si è dedicato agli aspetti tecnici e giuridici dell’informatica forense, eseguendo attività di formazione e perizie informatiche in ambito d’indagine su cellulari, computer, audio, video, malware, reti, social.
