Interventi

Sicurezza cyber, la pesca pericolosa ai big delle azienda

di Alessandro Curioni

3' di lettura

Tecnicamente si chiama “whaling” , la pesca della balena, perché l'obiettivo è il pesce grosso ovvero i vertice aziendali. Lo schema di attacco è ricorsivo: compromettere i sistemi di posta elettronica aziendali, appropriarsi dell'identità di un top manager, quindi, utilizzando il corretto approccio aziendale, ingannare gli uffici amministrativi e fare in modo che eseguano pagamenti verso conti controllati dai truffatori.

Nel 2018, secondo i dati dell'Internet Crime Report redatto dalla FBI, negli Stati Uniti sono stati denunciati 20.373 casi, con perdite stimate pari a 1,2 miliardi di dollari, praticamente più del 50 per cento delle perdite finanziare complessive determinate dal cyber crime. Oltreoceano questo tipo di crimine viene definito BEC (Business E-mail Compromise) e si tratta di una sofisticata forma di truffa che colpisce aziende commerciali, nella maggioranza dei casi che hanno forti scambi con l'estero, con l'obiettivo di sottrarle grosse somme di denaro tramite bonifici bancari. In passato le frodi di questo tipo erano solitamente molto complesse e articolate e rappresentavano la primaria attività di gruppi criminale piuttosto strutturati. Le modalità di attacco denotavano un attento studio dell'obiettivo, a partire dal linguaggio aziendale, che veniva riprodotto nei messaggi e nelle comunicazioni, per renderli più credibili.

Loading...

Nel tempo è stato anche rilevato il ricorso a virus informatici, che permettevano accessi abusivi alle reti aziendali. Spesso questi malware avevano l'obiettivo di permettere ai delinquenti di modificare le registrazioni contabili per giustificare i successivi trasferimenti di fondi oppure si trattava di ransomware che bloccavano i sistemi per rallentare l'individuazione dei falsi trasferimenti.

Allo stato attuale queste truffe si stanno dimostrando talmente redditizie che non sono più appannaggio esclusi di criminali “navigati”, ma anche di soggetti meno esperti perché in fondo quello che occorre non sono grandi competenze tecniche, ma una certa creatività. Così nel tempo si sono osservati casi di furti d'identità di dirigenti perpetrati nei modi più disparati. Per un certo periodo hanno avuto grande successo le truffe ai danni delle segreterie. Di solito avvenivano per telefono e cercavano di indurre lo staff a fornire informazioni personali relative al manager e ai suoi spostamenti. Poi sono stati rilevati casi in cui i criminali hanno violato gli account sui social network dei familiari dell'obiettivo, poi utilizzati per prendere contatto con lui. In fondo chi dubiterebbe di un messaggio proveniente dall'account Facebook o Linkedin del proprio figlio o moglie?

Un'altra modalità di truffa prevede la false comunicazioni da parte di autorità statali (magistratura o fisco).

In Italia, nello specifico sono proliferate false comunicazioni inviate alla casella PEC (Posta Elettronica Certificata). In questo caso gioco un ruolo chiave lo gioca la falsa sicurezza che viene percepita dall'utente. Aggiungiamo che di recente i criminali hanno modificato alcune delle loro abitudini e nel 2018 sono stati rilevati casi in cui al posto del classico trasferimento fondi la truffa prevedeva la richiesta di un certo numero di gift card per acquisti on line per ragioni personali o di business.

Fino a questo punto la cronaca, ma il futuro potrebbe essere ancora più oscuro. Uno dei temi emergenti nel contesto della sicurezza cyber è la crescente pervasività delle intelligenze artificiali “deboli” ovvero quegli algoritmi in grado di svolgere specifici compiti con un livello di abilità comparabile a quello dell'uomo. Si tratta di software molto spesso open source alle quali manca soltanto l'addestramento. In uno scenario come questo nulla impedirebbe a dei criminali di insegnare a una IA debole attraverso video, scritti, audio e in generale attraverso informazioni liberamente disponibili a impersonificare in un'email o in una telefonata il top manager di un'azienda o forse anche più di uno. Il “whaling” potrebbe diventare un crimine su scala industriale gestito da sistemi automatizzati rispetto ai quali la aziende potrebbero contrappore altre intelligenze artificiali specializzate nel riconoscere le comunicazioni truffaldine, ma ancora di più un serie di controlli interni.

Detto questo si posso mettere in campo una serie di ulteriori controlli come adottare un processo di gestione dei pagamenti che preveda dei controlli su eventuali modifiche a modi, tempi, numeri di conto corrente sui quali vengono normalmente effettuati i bonifici.

Cercare di limitare le informazioni di carattere finanziario e relative alla struttura organizzativa aziendale sui siti istituzionali e sulle pagine dei social network. Prestare particolare attenzione ai messaggi che provengono da account non aziendali, anche se apparentemente riconducibili a personale dell'organizzazione. Diffidare di richieste di pagamento che hanno carattere di urgenza o segretezza. In ogni caso nulla può sostituire la consapevolezza e il buonsenso.

Considerando che si parla di criminali, si può affermare che valuteranno l'economia dello sforzo. Di conseguenza se i manager sono coscienti di questi rischi avranno il giusto grado di diffidenza e saranno pronti ad affrontare la minaccia. Probabilmente non potranno dirsi completamente al sicuro, ma di certo saranno molto in basso nella lista di priorità dei criminali.

Presidente DI.GI. ACADEMY

Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti