Attenzione, ecco la truffa del CEO: come funziona?

CEO letters (or Chief Executive Officer) on the card held by a man hand

La cosiddetta truffa del CEO è una tipologia di frode informatica creata da organizzazioni criminali ben organizzate che, preventivamente, acquisiscono informazioni sulla società che intendono attaccare, studiandone attività, ruoli e modus operandi. Una volta in possesso degli argomenti necessari, la truffa si concretizza contattando, con una falsa identità dirigenziale, la persona giusta e nel modo giusto, adducendola, con astuti giochi psicologici, ad effettuare un bonifico bancario urgente. Ancora una volta, quindi, siamo di fronte ad un attacco informatico che fa leva sull’elemento umano. L’unica difesa possibile, in questi casi, è l’aggiornamento e il miglioramento della consapevolezza della forza lavorativa aziendale: la cosiddetta security awareness.

Anatomia di un attacco

La metodologia di attacco usata nella truffa del falso CEO è molto subdola e si distingue dallo spamming, in quanto in questo caso il vettore è una mail di solito senza necessariamente allegati al seguito. Per rendere lo scenario più credibile e convincente, non è da escludere che l’attaccante tenti anche un eventuale contatto telefonico con le sue vittime. I truffatori possono spacciarsi per un dirigente, un amministratore delegato della azienda stessa oppure un direttore di un partner societario, che richiede una transazione bancaria urgente, indispensabile per il buon esito di una trattativa o progetto riservato in corso. Per essere quanto più convincenti possibili, gli elementi su cui gli attaccanti fanno leva sono:
-l’uso dell’autorità;
-l’enfasi dell’urgenza della transazione per il successo dell’operazione riservata;
-la concomitante valorizzazione e pressione psicologica della vittima.

Spoofing

Lo spoofing, tecnica impiegata per contraffare indirizzi mail, indirizzi IP o indirizzi DNS, è per l’appunto un tipo di falsificazione tecnologica adoperata, in questo caso, per far credere alla vittima che l’identità del mittente di posta elettronica ed il suo contenuto siano attendibili, mettendo a punto un indirizzo mail uguale o molto simile a quello originale.

Compromissione dell’account di posta elettronica

Purtroppo sono ormai all’ordine del giorno i casi di data breach con i quali vengono violate grandi quantità di dati sensibili e rese pubbliche su database online. Tra i casi più famosi ricordiamo “Collection #1” che ha coinvolto la violazione di milioni di indirizzi mail e password. Pertanto il rischio che una possibile compromissione di un account di posta avvenga a seguito di tali eventi non è per nulla trascurabile. Le tecniche più comuni che possono mettere in repentaglio le aziende, rendendole più vulnerabili a compromissioni di questo tipo, sono gli attacchi a forza bruta, il phishing, lo spear phishing e l’ingegneria sociale.

Intercettazione della posta elettronica

Con questa modalità di attacco, un soggetto può intercettare la posta elettronica di un’azienda e fare in modo che i pagamenti finiscano su conti correnti diversi da quelli legittimi, inserendosi in conversazioni eventualmente già in atto, richiamando ordini e fatture realmente eseguiti e producendo documentazione contraffatta con intestazioni e loghi originali.

Le email utilizzate possono contenere anche allegati armati con payload opportunamente programmati, per impossessarsi di ulteriori contatti e credenziali di altri servizi. Per mettere in atto il Man in the Mail, gli attaccanti devono disporre di un consistente bagaglio informativo sul target da colpire, informazioni che possono essere ricavate da attività di spionaggio interne alla società, da consultazioni di fonti liberamente accessibili oppure per il tramite di accurate pratiche di ingegneria sociale.

Truffa del falso CEO: analisi di un messaggio malevolo

Lo scenario tipico è il seguente:

L’attaccante dopo uno studio preventivo volto a scoprire iter e ruoli aziendali e qualsiasi altra informazione utile, passa all’attacco impersonando una figura responsabile d’azienda ed inviando una falsa mail all’operatore contabile per il versamento di un bonifico.

Il testo della mail in esame presenta degli elementi chiave che nel loro insieme producono un messaggio capace di indurre la vittima “inconsapevole” a compiere l’azione voluta dal criminale. Di seguito si evidenziano alcuni stralci dello scritto che, in un determinato contesto, possono portare alla persuasione dell’interlocutore, riuscendo a suscitare in esso l’approvazione di ciò che sta leggendo.