Truffa BEC alla Zecca della Stato: la banalità del male
2023-12-12 22:1:35 Author: www.cybersecurity360.it(查看原文) 阅读量:3 收藏

L'ANALISI e i consigli

La trappola è scattata lo scorso 26 maggio quando i truffatori, spacciandosi per un importante fornitore della Zecca, si sono “intrufolati” in uno scambio e-mail indicando un nuovo Iban su cui effettuare il pagamento. E’ banale prevenire questo problema ed è assurdo che non lo si faccia di default nemmeno nelle grandi aziende. Qui abbiamo raccolto dieci consigli chiave, da due noti esperti del settore: Paolo dal Checco e Alessio Pennasilico

Pubblicato il 12 Dic 2023

Cos’è la banalità del male, nel mondo della cyber security? Una minaccia le cui soluzioni sono note da tempo, sono ripetute in ogni convegno, ma che ancora nemmeno i big applicano di base e di regola. 

Una truffa tanto audace quanto prevedibile, e quindi prevenibile, è quella che ha appena colpito la Zecca dello Stato, mettendo a repentaglio 3 milioni di euro. Il mese scorso era successo a Poste, con un danno di 5 milioni di euro.

Nel caso della Zecca Solo l’intervento tempestivo della Polizia Postale di Roma e della Procura, con il PM Maurizio Arcuri che ora sta indagando per frode informatica, ha consentito di limitare i danni a 50mila euro finiti purtroppo nelle mani dei truffatori.

L’attacco Bec alla Zecca 

Sia per Zecca sia per Poste si è trattato di un tipico attacco di Business Email Compromise (BEC) in cui i truffatori sono riusciti a spacciarsi per un importante fornitore della Zecca e, dopo essersi infiltrati in uno scambio di email, hanno inviato un messaggio malevolo all’Istituto comunicando un nuovo Iban su cui effettuare il pagamento.

Un'azienda DIGITALE è più competitiva e sostenibile. Scarica la guida ed entra nella rivoluzione

Una truffa ben conosciuta, che già in passato ha mietuto parecchie vittime tra enti pubblici e organizzazioni grandi e piccole. Il caso forse più eclatante è stato quello della Toyota, che nel marzo del 2019 ha dovuto far fronte a una frode che ha consentito ai criminal hacker di rubare ben 37 milioni di euro. Allo stesso modo Poste Italiane ha pensato di stare parlando con un proprio fornitore, Microsoft, via mail.

Notevole anche la truffa alla SS Lazio durante l’acquisto del calciatore de Vrij.

Truffe via mail, le tecniche: Business Email Compromise, Spoofing, Man in the Mail

Truffa BEC alla Zecca dello Stato: cos’è accaduto

L’allarme dell’attacco BEC ai danni della Zecca dello Stato è scattato lo scorso 26 maggio dopo che i criminal hacker, specializzati in truffe Business Email Compromise, erano riusciti a fare abboccare all’esca la vittima usando un’e-mail apparentemente identica di un fornitore di tondini necessari per la produzione di monete.

Nel messaggio, i truffatori hanno fornito un nuovo numero di conto corrente chiedendo che i pagamenti fossero effettuati su quest’ultimo anziché su quello già comunicato in precedenza. Purtroppo, la Zecca ha abboccato all’esca e ha eseguito il pagamento di 3 milioni di euro sul nuovo IBAN fornito nella mail fraudolenta.

A quel punto, sono stati emessi due bonifici: il primo, del 19 maggio, da un milione di euro; il secondo, da due milioni di euro, del 25 maggio. Entrambi a favore di un conto corrente presso la sede della banca ungherese Mbh intestato a un prestanome dei truffatori.

Quando alla Zecca si accorgono di essere rimasti vittima di una truffa, non è ancora troppo tardi. La Polizia Postale e la Procura riescono infatti a bloccare il bonifico da 2 milioni di euro emesso solo 24 ore prima.

L’altro bonifico, da un milione di euro, è nel frattempo arrivato sul conto corrente dei malfattori. Ma per fortuna, a differenza di quanto di solito accade in questi casi, i soldi non vengono prelevati a ripetizione in modo da prosciugare il prima possibile. Viene quindi richiesto l’intervento dell’Interpol e dell’UIF (Unità di informazione finanziaria) della Banca d’Italia che riescono a “congelare” altri 950mila euro che verranno presto restituiti alla Zecca dello Stato.

I consigli per prevenire le truffe BEC

Dunque, alla fine della storia, la Zecca dello Stato è riuscita a evitare la truffa e l’intervento delle autorità ha evitato che i criminal hacker riuscissero a mettere a segno il loro piano.

Ma se anche big come la Zecca e persino società con expertise tecnologica come le Poste cascano in questi problemi significa che non è superfluo ripetere quali sono le buone pratiche di sicurezza informatica e di cyber hygiene da applicare nella propria organizzazione. E se anche grossi enti ben strutturati ed economicamente solidi possono rimanere vittime di queste truffe, allora il pericolo è ancora maggiore per le organizzazioni, in particolare per le PMI.

Un pericolo che, però, può essere facilmente mitigato applicando semplici configurazioni ai propri server di posta elettronica, adottando normali misure di sicurezza per le proprie infrastrutture e mettendo in pratica alcune regole di sicurezza.

Qui abbiamo raccolto dieci consigli chiave, da due noti esperti del settore.

Le misure tecniche per difendersi dalle truffe BEC

  1. Innanzitutto, come ci suggerisce Paolo Dal Checco, informatico forense, “è importantissima la configurazione del proprio dominio con DKIM, SPF e DMARC per evitare che gli attaccanti lo impersonino inviando a terzi messaggi di posta fraudolenti. Questo protegge in realtà gli altri (fornitori o clienti) da mail fraudolente inviate da indirizzo appartenenti al nostro dominio”.
  2. “Allo stesso modo”, continua ancora Dal Checco, “è essenziale proteggere anche la propria mailbox aggiungendo un secondo fattore di autenticazione, con l’impostazione dell’invio di un codice via SMS a ogni nuovo accesso, un token hardware come Yubikey oppure una App per smartphone”.
  3. “Dato che i criminali in genere, una volta entrati nella mailbox, impostano inoltri/forward, è importante impostare delle policy che ne impediscano l’attivazione se non con autorizzazione da parte degli amministratori del tenant”.
  4. “Per proteggere noi stessi è importante, d’altra parte, vagliare con attenzione le e-mail in ingresso, con sistemi antispam ben configurati che siano in grado di rilevare ad esempio le anomalie nei messaggi ricevuti o gli errori nella firma DKIM e nella verifica SPF, se possibile conformandosi allo standard DMARC”.

Procedure operative e misure organizzative

  1. Allo stesso tempo, è importante adottare procedure operative e misure organizzative per prevenire e mitigare il rischio di rimanere vittime di truffe online come quella della Business Email Compromise.
  2. Ancora Dal Checco sottolinea che occorre “prevedere rigidi protocolli di aggiunta in anagrafica degli IBAN su cui disporre i bonifici, con regole formali su come aggiornare i conti correnti su cui i fornitori richiedono di ricevere il pagamento delle fatture”.

Almeno in Italia, continua ancora l’esperto forense, “è importante (ma non risolutivo) utilizzare gli IBAN presenti nelle fatture elettroniche per disporre i pagamenti, invece di quelli ricevuti tramite semplici e-mail oppure riportati nelle fatture di cortesia in PDF che le aziende in genere inviano contestualmente all’emissione delle fatture elettroniche sullo SDI”.

Bisogna infatti tener conto che, in Italia, la fatturazione elettronica non è comunque sicura e quindi “andrebbe comunque verificato anche l’IBAN presente, primo perché gli attaccanti possono accedere abusivamente al portale di gestione di fatturazione; secondo perché le fatture elettroniche non sono comunque firmate e quindi si possono “clonare” generandone di false, avendo a disposizione una PEC regolare (che può essere ottenuta in diversi modi, anche abusivamente)”, fa presente ancora Paolo Dal Checco.

Una corretta cyber hygiene contro le truffe via e-mail

Infine, come suggerisce Alessio Pennasilico, Information & Cyber Security Advisor di P4i (Partners4Innovation) e membro del Comitato Scientifico Clusit, dal punto di vista tecnico è utile adottare anche poche regole e scontatissime, oltre che “vecchie e standard”:

  1. Antispam, antiphishing, magari oggi aiutati dall’intelligenza artificiale che però, nel caso di frodi mirate, rischiano di essere poco efficaci;
  2. Molto più utile un processo e misure organizzative strutturate preventive: ad esempio, un processo approvativo per i bonifici, affinché una persona non possa emetterlo da sola su input di una mail. È vero che costà di più in tempo lavoro eseguire i bonifici, ma quanto tempo “in più” occorre lavorare per coprire possibili perdite di decine o centinaia di migliaia di euro?
  3. Utile anche avere un rapporto stretto con la filiera: annunci preventivi tipo “se cambiamo IBAN vi mandiamo una PEC da questo indirizzo, lo scriviamo su questa pagina web dell’area clienti/fornitori e vi contatterà il vostro referente (commerciale o buyer) di riferimento. Qualsiasi altra comunicazione svolta con modalità differenti non verrà accettata”.
  4. Infine, i cambi di IBAN di clienti e fornitori dovranno essere comunicati con modalità ben precise da definire a seconda del contesto: qualsiasi altra modalità verrà ignorata.

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/nuove-minacce/truffa-bec-alla-zecca-della-stato-la-banalita-del-male/
如有侵权请联系:admin#unsafe.sh