start portlet menu bar

Web Content Viewer

end portlet menu bar

INVOICE FRAUD - Truffa della fattura

Un'azienda viene avvicinata da qualcuno che finge di rappresentare un fornitore, un prestatore di servizi o un creditore.

Il contatto può avvenire su diversi fronti: a mezzo telefono, lettera, fax (sempre più raro) o e-mail. Il truffatore chiede che vengano modificate le coordinate bancarie per il pagamento (ad es. i dettagli del beneficiario del conto bancario) delle prossime fatture (il nuovo conto suggerito è in realtà controllato dal truffatore).

 

Per evitare già in partenza di cadere nell'inganno è meglio non inserire l'iban nella fattura elettronica, dato che non va obbligatoriamente inserito. La fattura elettronica è infatti, nel contenuto, non diversa da una fattura tradizionale; cambia solo la modalità di trasmissione, per cui si può inviare una fattura elettronica senza dover riportare anche le coordinate bancarie alle quali effettuare il bonifico.

Se si vogliono inserire informazioni “delicate” è meglio inviarle con strumenti sicuri o, per essere ancora più prudenti, con meccanismi di criptazione condivisi dall'emittente la fattura e dal ricevente.

 

Che cosa fare come azienda?

 

  • Assicurarsi che i dipendenti siano informati su questo tipo di frode e sui modi per evitarla.
  • Attuare una procedura per verificare la legittimità delle richieste di pagamento.
  • Istruire il personale incaricato dei pagamenti delle fatture per verificare sempre eventuali irregolarità.
  • Rivedere le informazioni pubblicate sul sito web istituzionale, in particolare quelle relative a contratti e fornitori. Consigliare anche ai dipendenti di limitare ciò che condividono sui social media in merito all’azienda e al luogo di lavoro.
  • Contattare sempre la polizia in caso di tentativi di frode, anche se non si è vittima della truffa.

 

Che cosa fare come dipendente?

  • Verificare tutte le richieste che sostengono di provenire dai creditori, soprattutto se questi chiedono di modificare i loro dati bancari per il pagamento delle fatture.
  • Non utilizzare le informazioni di contatto che si trovano sulla lettera / fax / e-mail ricevuta in cui si richiede la modifica. Utilizzare quelle con cui si è contattato in precedenza il fornitore/prestatore di servizi/creditore.
  • Definire appositi Punti di Contatto con le società verso cui si effettuano pagamenti regolari.
  • Per i pagamenti superiori a una determinata soglia, impostare una procedura ad hoc per confermare le coordinate bancarie e il destinatario corretti (ad esempio un incontro con la società).
  • Quando viene pagata una fattura, inviare un'e-mail per informare il destinatario. Includere nell’e-mail il nome della banca del beneficiario e le ultime quattro cifre del conto.
  • Limitare le informazioni relative al datore di lavoro che si condividono sui social media.
  • Segnalare i tentativi di frode ai tuoi Responsabili o alla Direzione pertinente.

 

BUSINESS EMAIL COMPROMISE

 

L’email è lo strumento di comunicazione maggiormente utilizzato dalle aziende di tutto il mondo e piace moltissimo ai cyber criminali per compiere attacchi: parliamo delle truffe BEC (Business Email Compromise).

Ma come funzionano?

Proviamo a spiegarlo con un esempio semplice: in ufficio arriva un’email in cui un fornitore scrive per comunicare che l’IBAN a cui di solito inviate i bonifici bancari è cambiato. Qual è la prima cosa che si deve fare? Si controlla l’indirizzo email, ma ci si accorge che è lo stesso con cui di solito siamo in contatto; l’ortografia sembra corretta. A questo punto, siamo indotti a fare il bonifico al nuovo IBAN e il cyber criminale ha raggiunto lo scopo di conquistarsi la nostra fiducia.

Utilizzando un mix di ricerche e di tecniche di social engineering, i cyber criminali ci fanno credere di essere persona con cui di solito ci interfacciamo (fornitore, dirigente d’azienda o addirittura un esponente delle forze dell’ordine che chiede informazioni personali su qualcuno), in modo da utilizzarle per attacchi BEC successivi.

Gli hacker possono utilizzare indirizzi email che somigliano a quelli a te noti (cosiddetti lookalike domain), ma molto spesso sono degli indirizzi totalmente validi le cui credenziali sono state ottenute tramite email di phishing, attacchi brute force o acquistate sul dark web in seguito a data breach.

La caratteristica principale dei messaggi BEC è la totale assenza di malware o link pericolosi che consente di oltrepassare facilmente tutti i sistemi di sicurezza tradizionali.

 

Alcuni esempi di BEC:

  • Transazioni immobiliari: durante le transazioni per l’acquisto di immobili, i criminali potrebbero impersonare venditori, agenti immobiliari o studi legali per convincere con l’inganno chi acquista una casa a trasferire i soldi sul loro conto.
  • Furto di dati: i cyber criminali possono usare l’indirizzo email di un dirigente per richiedere documenti o informazioni personali al reparto risorse umane.
  • Supply chain: i criminali spesso si servono di attacchi BEC per inserirsi nelle trattative con i fornitori e reindirizzare i pagamenti sul proprio conto.
  • Studi legali: gli hacker possono anche assumere l’"identità" di un rappresentante di uno studio legale per ottenere informazioni su cause giudiziarie in corso o per avere accesso ad altri documenti e informazioni riservate.

Perché le minacce Business Email Compromise sono tanto pericolose?

 

Gli attacchi BEC sono progettati per bypassare i meccanismi di sicurezza come filtri antispam e antivirus e sono così pericolosi perché:

  • Non contengono malware, come detto sopra. Gli attacchi BEC normalmente non contengono alcun tipo di software dannoso, ma si servono di sofisticate tecniche di social engineering per truffare gli utenti.
  • Sono in grado di superare i filtri antispam. Spesso i messaggi BEC sono talmente ben fatti che è impossibile per un filtro antispam distinguerli da una qualunque email legittima.
  • Sono altamente personalizzati. I cyber criminali fanno approfondite ricerche sulla vittima prima di lanciare un attacco e spesso analizzano siti web, social media o addirittura il dark web alla ricerca di informazioni specifiche sull’azienda vittima e sui suoi dirigenti. Essendo a conoscenza anche dello stile di scrittura di chi intendono “impersonare”, smascherare questi hacker diventa molto complicato.

CHE COSA SI PUO’ FARE?

 

Per prima cosa occorre conoscere come questi attacchi vengano perpetrati, così da non dare per scontato che un dominio email o qualche informazione di base attestino l’identità di un individuo.

 

Inoltre, nel caso di cambi di IBAN o richieste di informazioni personali o delicate, è sempre buona norma fare degli ulteriori accertamenti, scrivendo a indirizzi email differenti o chiamando il nostro fornitore per avere conferma dell’IBAN sul quale eseguire il bonifico.

 

 

start portlet menu bar

Web Content Viewer

end portlet menu bar