Si chiama CEO fraud o Business Email Compromise ed è la nuova frontiera delle truffe che colpisce i dipendenti di un’azienda: ecco come funziona.
I truffatori sono sempre in agguato, pronti a escogitare nuovi stratagemmi per mietere altre vittime. Questa volta hanno preso di mira i dipendenti aziendali, soprattutto quelli che lavorano nei reparti amministrativi e contabili. Lo sa bene Marcel, 41 anni, olandese, che ci è cascato in pieno.
Tutto è iniziato con un’e-mail urgente, apparentemente inviata dal suo superiore: una fattura da pagare subito. Una richiesta che, per chi lavora in un reparto contabile, può sembrare normale e perfettamente coerente con la routine quotidiana. Così Marcel ha eseguito il bonifico: 4.950 euro finiti direttamente nelle mani dei truffatori, nella convinzione di seguire le istruzioni del proprio responsabile. Solo due settimane dopo ha scoperto l’inganno: nell’indirizzo e-mail del mittente, tra nome e cognome, c’era punto in più.
La nuova frontiera delle truffe online si chiama CEO fraud o Business Email Compromise, nota anche come BEC. Si verifica quando i criminali si spacciano per un superiore, un capo, un direttore finanziario o un presidente d’azienda e inviano una mail ai dipendenti autorizzati a effettuare pagamenti, di solito quelli del reparto contabile. La richiesta è urgente, riservata e molto credibile: il nome sembra corretto, la firma è quella giusta, il tono è quello usato dal capo e il messaggio appare del tutto verosimile.
A cambiare, però, è un dettaglio decisivo: l’indirizzo e-mail. Un punto fuori posto, una lettera diversa, un dominio quasi identico a quello aziendale. Particolari minimi, che possono passare inosservati quando si è di fretta o sotto pressione. Eppure quell’e-mail non arriva davvero dal superiore. Il pagamento non viene destinato a un fornitore dell’azienda, ma finisce direttamente nelle tasche dei truffatori.
L’FBI stima che le frodi BEC costino alle aziende di tutto il mondo oltre 2,7 miliardi di dollari ogni anno. In Italia, secondo le stime del settore, oltre 400 aziende vengono prese di mira ogni giorno da questo tipo di attacco. Il nostro Paese è considerato tra i più colpiti al mondo, secondo solo agli Stati Uniti.
Questa truffa fa leva su meccanismi psicologici molto precisi. Una richiesta urgente da parte del capo spesso non si discute: si esegue. L’ansia di non deludere un superiore, la fretta, la pressione e la routine lavorano tutte a favore dei criminali. Le e-mail BEC, inoltre, raramente contengono allegati infetti o link sospetti, cioè gli elementi che di solito vengono intercettati dai filtri antispam. Sono messaggi puliti, convincenti, spesso costruiti dopo settimane di studio dell’azienda presa di mira: organigramma, stile di comunicazione, gerarchie interne e abitudini operative.
Oltre la metà del traffico e-mail mondiale è composta da spam, ma le e-mail BEC non assomigliano allo spam tradizionale. Sembrano messaggi normali, legittimi, perfettamente inseriti nel contesto aziendale. Ed è proprio questo a renderle così pericolose.
Come evitare rischi
leggi anche
Una nuova truffa usa un chip per manomettere gli sportelli bancomat e clonare la tua carta
Per non cadere nella trappola, il primo passo è controllare sempre l’indirizzo completo del mittente, non solo il nome visualizzato, che può essere facilmente falsificato. Il secondo è non saltare mai le procedure interne previste per i pagamenti, anche quando la richiesta sembra arrivare dall’alto. Il terzo, forse il più importante, è verificare sempre attraverso un canale diverso: se arriva un’e-mail con una richiesta di pagamento urgente, basta prendere il telefono e chiamare direttamente il presunto mittente.
Trenta secondi di chiamata possono evitare migliaia di euro di perdite e, nei casi più gravi, conseguenze pesantissime anche sul piano lavorativo, come accaduto in alcune vicende finite al centro delle cronache anche in Italia culminate con il licenziamento.
