La rete continua ad accelerare notevolmente lo scambio di informazioni tra le imprese e i loro collaboratori – le note terze parti. L’email si afferma come strumento prediletto per queste interazioni. Sia le aziende che i professionisti autonomi si affidano a questo mezzo per scambiarsi comunicazioni, inclusi dati sensibili e documenti amministrativi, esponendosi alle truffa IBAN.
Si chiamano BEC (Business Email Compromise), Man in the middle, Man in the mail, sniffing, spoofing, ma cosa si nasconde dietro questi nomi? Si tratta di metodi e tentativi, più o meno riusciti di raggiro informatico.
La tecnica fraudolenta conosciuta come man in the middle è un attacco informatico in cui qualcuno ritrasmette o altera la comunicazione tra due parti ignare. Riguarda l’illecito accesso alle caselle mail da parte di hacker con l’intento di intercettare scambi di comunicazioni, documenti, firme e impersonare i legittimi proprietari per compiere azioni fraudolente.
BEC e Man in the mail
La tipologia di attacco di cui parliamo, denominato impropriamente “Man in the middle”, trascende i confini della sicurezza informatica per entrare nel campo dell’ingegneria sociale. Precisamente, è stato coniato il termine man in the mail per queste frodi.
I preventivi e le fatture di cortesia sono tra i documenti più comunemente inviati via internet e rappresentano una miniera d’oro per i truffatori.
La figura del man in the mail, ossia l’hacker, può perpetrare il suo inganno principalmente in due modi:
Aspettando che la vittima invii una richiesta di pagamento per poi inviare una email fraudolenta che richiede il pagamento su un conto diverso.
Modificando l’allegato PDF nella casella email del destinatario senza inviare una nuova mail, sfruttando la possibilità di alterare i contenuti di un messaggio già presente.
La truffa dell’IBAN è un tipo di frode che colpisce tutti, sia i singoli cittadini, sia le PMI, sia le grandi realtà nazionali come la Zecca dello Stato
Ma come funziona le truffe BEC nel dettaglio?
Gli hacker riescono ad infiltrarsi nelle caselle email di determinate aziende, poi si dedicano per mesi allo studio delle comunicazioni aziendali, familiarizzando con quali siano i clienti, fornitori e la routine amministrativa. Nel momento più propizio, procedono all’invio di comunicazioni alle terza parti o ai clienti, sollecitando pagamenti o dirottandoli verso un IBAN di loro gestione. Il pretesto per tali trasferimenti è spesso legato a transazioni commerciali reali, come per esempio l’acquisto o il saldo di prodotti che l’azienda coinvolta stava effettivamente pianificando oppure pagamenti a fornitori storici che richiedono verosimilmente solo il cambio di IBAN.
La pratica di cambiare gli IBAN per i pagamenti all’ultimo momento, sebbene non insolita nel commercio internazionale, apre le porte a queste frodi. Cambiamenti legittimi di questo tipo sono abbastanza comuni, rendendo le aziende particolarmente vulnerabili a questa truffa IBAN.
Il fenomeno ha raggiunto proporzioni preoccupanti in Italia con un marcato aumento degli episodi nel 2023-2024 e perdite finanziarie significative per le aziende coinvolte. Alcune organizzazioni hanno perso somme superiori al mezzo milione di euro, distribuite in diversi trasferimenti verso vari IBAN.
I criminali adottano principalmente quattro tecniche per ottenere l’accesso non autorizzato alle caselle email aziendali o personali:
Phishing: inviando email che sollecitano l’inserimento delle credenziali di accesso su pagine web fraudolente;
Brute forcing: con tentativi ripetuti di accesso alla casella di posta mirati a identificare la password corretta e accedere all’account;
Password spraying: l’aggressore usa password comuni o ottenute tramite dark web per tentare di accedere a più account presenti su uno stesso dominio;
Infection: diffondendo malware tramite allegati email o link contenuti nei messaggi.
Dopo aver ottenuto l’accesso, i truffatori monitorano le comunicazioni e possono impostare filtri di inoltro per occultare messaggi dai fornitori o clienti legittimi.
Tipicamente, i delinquenti registrano domini molto simili a quelli delle aziende truffate (o dei loro fornitori) rimuovendo una lettera, o registrando domini di primo livello al posto di quelli locali o viceversa…
L’indirizzo del mittente nelle email fraudolente corrisponderà a quello reale, rendendo il riconoscimento dell’inganno possibile solo attraverso un’analisi dettagliata dell’intestazione RFC822 del messaggio.
Quando la vittima risponde a una mail-trappola, apparentemente proveniente da un contatto noto, e aggiunge l’indirizzo alla propria rubrica, diventa estremamente difficile identificare la frode.
La vittima quindi non riconosce l’indirizzo del mittente come falso e risponde convinto di essere all’interno di uno scambio fidato con il vero fornitore, giungendo infine a emettere uno o più bonifici. Purtroppo, le aziende colpite da questo schema truffaldino si rendono conto dell’accaduto solo dopo settimane, quando il vero fornitore si fa vivo per richiedere il pagamento non ricevuto.
Questo tipo di mail non sono sempre intercettate da anti-virus, anti-spam perché appunto mail di domini legittim. Si tratta principalmente di social engineering e human error, quindi, l’azienda andrebbe protetta a monte per ridurre al minimo queste possibilità. Come?
Consigli pratici per sopravvivere alla truffa IBAN
Iniziamo con alcune semplici misure preventive:
Organizzare formazioni periodiche per i dipendenti sulle nuove minacce informatiche,
Usare password complesse e cambiarle regolarmente, ove possibile attivare l’MFA (Multi Factor Authentication),
Proteggere la propria intranet aziendale,
Monitorare i log,
Mantenere aggiornati i sistemi e i software di protezione come antivirus e antimalware.
Oltre alle consuete good practice in materia di sicurezza informatica, ecco altri importanti consigli che ogni azienda può adottare immediatamente per prevenire questo genere di attacchi.
Stabilire Procedure di Sicurezza per la Comunicazione di Cambio IBAN:
Definire una procedura che richieda conferme attraverso canali sicuri, come la Posta Elettronica Certificata (PEC) seguita da una videochiamata o una telefonata con un referente aziendale noto, per verificare ogni richiesta di cambio IBAN.
Procedure per la Comunicazione di Cambiamenti dell’IBAN Aziendale
Analogamente, quando l’azienda deve comunicare un cambiamento del proprio IBAN ai clienti, utilizzare procedure di sicurezza rafforzate che includano conferme attraverso più canali, compresa la pubblicazione del nuovo IBAN su un’area sicura del sito web aziendale.
Verificare le Informazioni Ricevute tramite Canali Affidabili
Di fronte a richieste di cambio IBAN o di altri dati sensibili, verificare sempre l’autenticità delle informazioni attraverso canali precedentemente stabiliti o controllare direttamente sul sito istituzionale del fornitore/cliente senza fare affidamento sulle comunicazioni pervenute improvvisamente via mail.
Impedire l’Inoltro Automatico delle Email Aziendali
Configurare le caselle email aziendali in modo che l’inoltro automatico delle email possa essere attivato solo con l’autorizzazione degli amministratori di sistema, per prevenire la sorveglianza delle comunicazioni da parte dei truffatori.
Verificare codice BIC o SWIFT
Questi codici, infatti, contengono informazioni sul paese, città, Istituto Bancario e filiale presso le quali la terza parte ha un conto.
Essere Cauti con le Coordinate Bancarie di Paesi Extraeuropei
Le coordinate bancarie che indicano conti in paesi extraeuropei dovrebbero essere oggetto di un’attenzione particolare, visto che i truffatori tendono a utilizzare conti internazionali.
Mantenere Alta l’Attenzione, Specialmente in Periodi Sensibili
Ricordare ai dipendenti di mantenere un’alta vigilanza, specialmente il venerdì e nei giorni prefestivi, periodi durante i quali l’attenzione potrebbe calare e i truffatori potrebbero approfittare di più tempo a disposizione prima dei controlli di routine.
Se ti ritrovi vittima di una truffa via email, come quella dell’IBAN falsificato, è importante determinare quale account del tuo dominio è stato compromesso.
La definizione della responsabilità è fondamentale per stabilire i passi successivi, che possono includere tentativi di esonero da responsabilità o accordi di conciliazione.
Riproduzione – “Security Architect”.