BUSINESS CLASS BY AMERICAN EXPRESS
Approfondimenti e spunti per far crescere il tuo business.
Approfondimenti e spunti per far crescere il tuo business.
I numeri sono impietosi: il cybercrimine è costato nel primo semestre del 2019 ben 3,54 miliardi di dollari, di cui la metà corrispondenti a ben precisi schemi di truffa via e-mail. E ogni attacco andato a buon fine ha comportato un esborso per la vittima – che tipicamente è un’azienda o una persona facoltosa – di oltre 74mila dollari.
Allargando la prospettiva, secondo l’FBI statunitense tra la metà del 2016 e la metà del 2019 le società hanno perso oltre 26 miliardi di dollari a causa di hacker e malviventi che operano in digitale. E i dati complessivi, che arrivano sempre con parecchi mesi di ritardo rispetto al periodo a cui si riferiscono, mostrano che il trend è inesorabilmente di crescita.
Protagoniste della maggior parte degli attacchi, soprattutto se si valutano quelli con un ricco bottino, sono le cosiddette strategie BEC e EAC, due acronimi che stanno rispettivamente per Business E-mail Compromise e E-mail Account Compromise.
Come funzionano davvero gli attacchi via e-mail
In breve, BEC e EAC sono due tipologie di attacco simili al classico phishing, ma con un maggior livello di sofisticazione. Anche se si tratta di richieste di pagamento in denaro relativamente elementari, il cuore dell’attacco consiste nel fingere di essere qualcun altro, e in particolare qualcuno che dovrebbe effettivamente ricevere un pagamento dalla vittima.
L’esempio più classico è quello di un sedicente fornitore che comunica all’azienda cliente una variazione dell’Iban su cui effettuare i pagamenti, con l’obiettivo di deviare sul conto del criminale tutti i soldi che sarebbero legittimamente spettati al vero fornitore. Oppure, c’è chi si finge un agente immobiliare per intascare i soldi di una caparra, o ancora tenta di impersonare un dirigente d’azienda che impartisce istruzioni ai suoi colleghi, dicendo loro di eseguire un pagamento verso un Iban specifico.
Rispetto a una classica truffa, a un ricatto o all’azione di un malware, BEC e AEC richiedono anche una componente importante di ingegneria sociale. Vale a dire, non si tratta solo di inviare una e-mail che tecnicamente sia verosimile e da un indirizzo analogo (o identico) a quello del vero mittente, ma anche di far leva su meccanismi gerarchici, dinamiche sociali e fattori psicologici. Portando la vittima ad abbassare il proprio livello di attenzione – per esempio perché il messaggio sembra un ordine arrivato dal capo – o a ritenere un particolare tipo di comunicazione più che plausibile.
Non è un caso che questi tipi di attacco, nonostante rappresentino appena il 7% del totale del cybercrimine, corrispondano alla metà del volume d’affari complessivo. Le vittime sono infatti soprattutto nel personale amministrativo aziendale, e vengono attaccate proprio perché quotidianamente muovono una gran quantità di denaro. Ma non mancano anche i cittadini privati, ritenuti più facilmente frodabili quando stanno per stipulare un contratto d’affitto o una polizza assicurativa, o ancora se hanno chiesto servizi di consulenza legale o d’altro genere. In alcuni casi l’attacco è preceduto da una violazione della casella e-mail della vittima, mentre in altri si usa un indirizzo molto simile a quello originale, puntando sul fatto che nessuno si accorga di una minima differenza.
Come proteggersi e tutelarsi: alcuni consigli
Nota la truffa, pronte le contromisure. Come vale per molte questioni di cybersecurity, il primo elemento su cui puntare è la cultura e la formazione delle persone. L’essere consapevoli della presenza di simili minacce è il passo iniziale per evitare di finire truffati.
All’atto pratico, poi, l’elemento principale è non prendere mai alla leggera richieste di questo tipo, facendo magari un controllo ulteriore con il diretto interessato. Insomma, prima di inviare soldi a qualcuno, meglio assicurarsi una volta in più che tutto sia corretto. E mantenere sempre quella sana diffidenza che ci permette di attivare campanelli d’allarme.
Secondo un report sulla cybersecurity realizzato da Proofpoint, sono decine di migliaia ogni giorno gli attacchi BEC e AEC tentati. Una tattica che sta prendendo il sopravvento è quella di sostituire gli invii di denaro tramite bonifico con la comunicazione dei codici di gift card: in questo modo, visto che l’acquisto vero e proprio viene portato a termine su un sito sicuro e di fiducia, la vittima è tendenzialmente meno attenta, e potrebbe poi più facilmente consegnare la gift card acquistata nelle mani sbagliate.
Oltre al non accettare di pagare in queste modalità, che peraltro non sono tracciabili, l’altro consiglio è di tutelarsi anche con apposite assicurazioni contro frodi e illeciti offerte dai più grandi player delle transazioni di denaro. Soprattutto per le aziende, ma anche per i privati, avere a disposizione uno strumento di tutela qualora si cada vittime di un raggiro permette di dormire sonni più tranquilli, beneficiando della garanzia di una protezione. Anche se l’ideale, ovviamente, resta comunque di accorgersi per tempo della minaccia e non inviare denaro a un criminale informatico.
Per trasformare un’azienda in una data-driven company c’è bisogno della data literacy: ecco le strategie da mettere in atto La trasformazione digitale delle imprese richiede …
Comprendere i vantaggi e gli svantaggi delle diverse strategie di gestione della catena di approvvigionamento aiuta un’impresa a compiere la scelta giusta. Per dare ai …
Ecologia, sostenibilità e trasparenza sono diventate imperativi irrinunciabili per un’economia moderna e capace di guardare avanti. Ecco la road map da seguire per le aziende …
