La truffa si chiama “Business e-mail compromise”, o “Ceo fraud”, ed è nata in Nigeria qualche anno fa, per riprendere vigore proprio negli ultimi mesi e rappresentare un importante fattore di rischio per le aziende anche nel 2016. Il funzionamento ha le caratteristiche di una truffa classica, dove la tecnologia è soltanto un mezzo nuovo per portare a termine raggiri vecchi e sperimentati: i dipendenti del reparto finanziario delle aziende attaccate con minacce di questo tipo, che non richiedono competenze tecniche particolarmente elevate ma possono generare introiti molto importanti per i criminali, ricevono finte email in cui il loro Ceo richiede trasferimenti di grandi somme di denaro. E convinti che il messaggio sia autentico mettono in pratica le istruzioni ricevute, trasferendo il denaro proprio nelle casse dei criminali. Un’azienda aerospaziale austriaca, spiega Symantec, che sui dati raccolti tramite il proprio email security cloud ha realizzato uno studio, ha licenziato da poco il suo presidente e il suo Cfo dopo aver perso quasi 50 milioni di dollari per una frode di questo tipo.
Le vittime “predilette” dai truffatori sono le piccole e medie aziende, che rappresentano da sole il 40% dei casi di Bec, mentre al secondo posto si attesta il settore finanziario, con il 14% dei casi. Ogni giorno, secondo i dati Symantec, sono vittime di attacchi tramite Bec circa 400 aziende, dove nella maggior parte dei casi vengono presi di mira professionisti con una certa anzianità all’interno dello staff finanziario. Così, secondo i dati dell’Fbi, le aziende hanno già perso oltre 3 miliardi di dollari negli ultimi tre anni a causa di questo genere di raggiri, per oltre 22 mila vittime a livello mondiale.
Le truffe Bec sono un’evoluzione della cosiddetta “truffa alla nigeriana”, conosciuta anche come 419 scam (419 è l’articolo del codice penale nigeriano che punisce questo genere di raggiri): è stata una delle prime frodi finanziarie via email al mondo, colpendo vittime inconsapevoli con email nelle quali si promettevano ricchezze in cambio di una piccola donazione in favore di un finto principe nigeriano. Questi truffatori oggi hanno iniziato a prendere di mira le aziende e stanno utilizzando trucchi meno elaborati per ingannarle e convincerle a eseguire trasferimenti di denaro. Le email Bec nella maggior parte dei casi contengono un oggetto composto da una sola parola, come “richiesta”, “pagamento”, “urgente”, “trasferimento”, “domanda”.
Come difendersi da queste frodi? “La preparazione degli utenti è lo strumento più efficace – spiega Symantec in una nota – È fondamentale che ogni dipendente si insospettisca di fronte a email che richiedano azioni inusuali da parte sua, o che non seguano le normali procedure. Qualora si riceva un messaggio di questo tipo, è opportuno inoltre evitare di rispondere direttamente alla mail e contattare direttamente il mittente utilizzando l’indirizzo presente nella rubrica aziendale. L’autenticazione a due fattori per le operazioni finanziarie, inoltre, è un altro strumento sul quale fare leva per una maggiore sicurezza.