In cosa consiste la truffa del CEO (CEO fraud)?

La truffa del CEO, nota come CEO fraud in inglese, rientra tra le tecniche di phishing. A differenza del classico spoofing di un sito web popolare, in questo caso l’aggressore imita l’identità dell’amministratore delegato o di un altro dirigente di alto livello dell’azienda presa di mira.

Alcuni attacchi di CEO fraud sfruttano tecniche di ingegneria sociale, ma la maggior parte combina diverse modalità di phishing per raggiungere l’obiettivo. Lo scopo principale è convincere un dipendente a trasferire denaro all’aggressore o a fornire informazioni riservate, come proprietà intellettuale o credenziali di accesso.

Il settore del phishing genera miliardi di dollari, e la truffa del CEO non è da meno, essendo una frode altamente redditizia. L’FBI stima che le truffe di tipo Business Email Compromise (BEC) abbiano un valore complessivo di 26 miliardi di dollari, con una popolarità in continua crescita. Tra il 2018 e il 2019, l’FBI ha rilevato un incremento del 100% nelle truffe BEC, inclusa la CEO fraud.

Questi attacchi colpiscono aziende di ogni dimensione, dalle piccole alle grandi imprese. Tuttavia, i due Paesi più frequentemente utilizzati per i trasferimenti bancari fraudolenti sono Cina e Hong Kong. Sebbene le truffe prendano di mira organizzazioni in diverse nazioni, l’FBI ha identificato obiettivi in ben 177 Paesi, tra cui Stati Uniti e Regno Unito. Inoltre, le banche coinvolte nei trasferimenti fraudolenti si trovano in circa 140 Paesi.

Lo spoofing di indirizzi email e il phishing sono i principali strumenti utilizzati nelle truffe ai danni degli amministratori delegati, spesso combinati con tecniche di ingegneria sociale per ottenere pagamenti più elevati. Gli aggressori sfruttano informazioni raccolte da fonti pubbliche, come pagine web aziendali e LinkedIn, per conoscere dettagli sull’organizzazione, i dipendenti, i dirigenti, i loro indirizzi email e i sistemi di fatturazione.

Le email di phishing sono generalmente indirizzate a dipendenti di reparti strategici, come risorse umane o contabilità. Ad esempio, l’aggressore potrebbe registrare un dominio simile a quello ufficiale dell’azienda, con una piccola modifica. Successivamente, invia un’email apparentemente firmata dall’amministratore delegato a un dipendente della contabilità, cercando di convincerlo a trasferire denaro su un conto bancario sotto il controllo dell’aggressore. Per rendere la richiesta più credibile e urgente, l’aggressore potrebbe utilizzare il social engineering, chiamando il dipendente e fingendo di essere un rappresentante dell’azienda, come un contabile.

Un attacco sofisticato può causare perdite finanziarie per milioni di dollari alle organizzazioni. Numerose aziende hanno subito gravi danni economici a causa di frodi rivolte agli amministratori delegati o di attacchi di “executive whaling.” Sebbene alcuni attacchi richiedano una serie di piccoli pagamenti, è più comune che gli aggressori ingannino i dipendenti per effettuare trasferimenti finanziari di sei o sette cifre.

Le conseguenze, tuttavia, non si limitano alle perdite economiche. Alcuni attacchi mirati ai dipartimenti delle risorse umane inducono i dipendenti a fornire informazioni di identificazione personale (PII) a terze parti, che possono poi essere utilizzate per frodi bancarie o furti di identità. Inoltre, molte normative sulla conformità richiedono alle aziende di notificare ai clienti eventuali violazioni dei dati, aumentando così i rischi di danni alla reputazione del marchio e di costi legali.

Infine, i dipendenti che cadono vittima di frodi rivolte agli amministratori delegati rischiano conseguenze gravi, inclusa la perdita del posto di lavoro, soprattutto se l’obiettivo finale dell’attacco è un altro dirigente.

La truffa del CEO è un attacco sofisticato che inizia con l’individuazione dell’organizzazione bersaglio. L’aggressore analizza il sito web dell’azienda per raccogliere informazioni sulla struttura aziendale, sui grafici organizzativi e sui nomi di dirigenti e dipendenti chiave. Questa fase di ricognizione può durare diversi giorni, fino a quando l’aggressore non dispone di dati sufficienti per passare alla fase successiva.

Una volta identificato l’obiettivo, l’aggressore registra un dominio simile a quello ufficiale dell’organizzazione, con una piccola variazione ortografica. Successivamente, crea un indirizzo email utilizzando il nome del CEO o di un altro dirigente di alto livello. A questo punto, invia un’email all’obiettivo prescelto, chiedendo esplicitamente di trasferire denaro.

Sebbene i dipendenti dei reparti Risorse Umane e Finanza siano spesso formati per riconoscere email di phishing, gli aggressori utilizzano tattiche sofisticate per generare un senso di urgenza, apparentemente proveniente da un dirigente di alto livello. In alcuni casi, un dipendente potrebbe notare la discrepanza nel nome di dominio, ma in altri potrebbe cadere nella trappola, trasferendo denaro o condividendo informazioni sensibili.

Le truffe del CEO hanno due obiettivi principali: dirigenti di alto livello con accesso a informazioni sensibili e dipendenti autorizzati a effettuare bonifici bancari. Gli attacchi spesso si concentrano su figure come CFO, CEO, COO o altri dirigenti con autorità operativa. Tuttavia, qualsiasi dirigente con accesso critico dovrebbe essere consapevole delle diverse modalità con cui gli aggressori sfruttano il phishing e l’ingegneria sociale.

In ambito cybersecurity, gli aggressori trovano spesso più efficace puntare su un dipendente vicino alla vittima designata. Consapevoli che i dirigenti di alto livello sono generalmente formati per riconoscere le minacce, gli aggressori scelgono dipendenti che potrebbero essere più vulnerabili alle tecniche di ingegneria sociale. Questi dipendenti potrebbero avere privilegi sufficienti per effettuare trasferimenti di denaro, oppure potrebbero essere sfruttati per sottrarre credenziali utili a ottenere l’escalation dei privilegi nell’ambiente aziendale.

La chiave di ogni attacco di phishing è creare un senso di urgenza. Se la vittima ha troppo tempo per riflettere, potrebbe accorgersi della truffa. Gli aggressori utilizzano indirizzi email contraffatti o creano messaggi che imitano quelli ufficiali dell’azienda. Sotto pressione, la vittima potrebbe non notare i segnali d’allarme evidenti.

La paura è uno degli strumenti più efficaci. Quando la richiesta sembra provenire direttamente dall’amministratore delegato, la vittima è più incline a seguire le istruzioni senza fare troppe domande. L’email non deve essere lunga né particolarmente ben scritta: il senso di urgenza spinge la vittima a ignorare eventuali incongruenze. L’obiettivo finale è sempre lo stesso: ingannare la vittima per ottenere denaro o informazioni sensibili.

Se l’azienda dispone di un team di sicurezza interno, il primo passo è segnalare l’incidente al responsabile della cybersecurity. In assenza di un team dedicato, la vittima può rivolgersi al personale operativo. L’email fraudolenta può essere analizzata per bloccare future comunicazioni simili, impedendo che raggiungano altri destinatari. Inoltre, il personale operativo o di sicurezza dovrebbe informare tutti i dipendenti per aumentarne la consapevolezza rispetto alla minaccia in corso.

Se una azienda incorre in problemi persistenti o ha trasferito denaro all’aggressore, è fondamentale contattare immediatamente la banca. In alcuni casi, l’istituto bancario può aiutare a recuperare parte o l’intero importo trasferito. È inoltre importante segnalare l’incidente alle forze dell’ordine, sia per avviare un’indagine che per soddisfare eventuali requisiti assicurativi.

Le frodi ai danni dei CEO colpiscono sia piccole che grandi aziende, ma le organizzazioni più grandi rischiano perdite finanziarie di milioni di dollari da un singolo attacco riuscito.

Ad esempio, il CFO di Xoom è stato vittima di una CEO fraud, trasferendo oltre 30 milioni di dollari su conti bancari offshore prima di accorgersi della truffa. L’episodio ha portato alle sue dimissioni.

Un’altra azienda, Ubiquiti, con sede a San Francisco, è stata colpita da una frode simile, trasferendo oltre 46 milioni di dollari su conti offshore. Grazie alla collaborazione con le banche e le forze dell’ordine, Ubiquiti è riuscita a recuperare circa 10 milioni di dollari, ma ha comunque subito una perdita netta di 30 milioni di dollari.

Le frodi informatiche rappresentano un’industria multimiliardaria per gli aggressori, ma le organizzazioni e i loro team operativi possono adottare diverse strategie per ridurre i rischi:

• Analizzare e formare il personale ad alto rischio, come quello finanziario e delle risorse umane, per riconoscere e segnalare gli attacchi.
• Implementare controlli di accesso e strumenti di cybersicurezza, come filtri email e protocolli DMARC, per bloccare messaggi dannosi.
• Applicare politiche di sicurezza che impediscano di autorizzare bonifici basandosi solo su un’email.
• Adottare standard finanziari e di sicurezza informatica per intercettare eventuali attacchi.
• Pianificare il rischio e fornire formazione continua a tutto il personale.
• Inviare email di phishing simulate e social engineering per migliorare la preparazione dei dipendenti.
• Restare aggiornati sui segnali d’allarme tipici delle frodi rivolte agli amministratori delegati.

Proteggersi dalle truffe del CEO richiede un impegno continuo, ma Proofpoint può supportare le aziende nella difesa contro il phishing e il social engineering con soluzioni avanzate. Ecco come Proofpoint può aiutare:

• Advanced Business Email Compromise: grazie a tecnologie di apprendimento automatico e intelligenza artificiale, Proofpoint rileva e blocca le frodi via email con una precisione superiore rispetto ai sistemi di sicurezza email tradizionali. Inoltre, integra il protocollo DMARC per migliorare la sicurezza delle email in entrata e in uscita, fornendo agli amministratori una visibilità completa sulla posta elettronica aziendale per identificare ed esaminare le minacce.
• Security Awareness Training: gli errori umani sono una delle principali cause di data breach in seguito ad attacchi phishing. Proofpoint offre programmi di formazione basati su casi reali, aiutando i dipendenti a riconoscere i rischi e a prevenire attacchi futuri, riducendo così le vulnerabilità aziendali.
• Email Security and Protection: oltre al phishing, anche i messaggi malevoli e i malware rappresentano una minaccia. Proofpoint utilizza la tecnologia NexusAI per analizzare le intestazioni, l’IP del mittente e il contenuto dei messaggi, identificando e bloccando eventuali email pericolose.