Una tecnica di attacco utilizzata ormai molto spesso dai cyber-criminali si sta rivelando molto proficua: spesso ci troviamo a fare dei pagamenti ai nostri fornitori, mettendoci d’accordo tramite comunicazioni via e-mail.
Gli hacker in questo caso si mettono in mezzo alle comunicazioni, fingendosi la parte che deve ricevere il pagamento.
Al momento in cui viene comunicato l’IBAN su cui effettuare il pagamento, il criminale blocca la mail originale, e tramite tecniche di spoofing sull’indirizzo del mittente, inserisce un IBAN collegato al suo conto, o ad un prestanome, e spesso su banche in paesi specifici.
Se chi effettua il pagamento non si accorge di questa tecnica di social-engineering, la perdita può essere molto elevata.
Una volta che l’hacker riceve il pagamento, il conto viene prontamente svuotato e spostato tra varie banche, fino a perderne le tracce. Le ricerche diventano quindi vane e molto spesso più costose della cifra persa.
È essenziale, per chi deve ricevere il pagamento, avere alla base un buon sistema di sicurezza informatico e delle policy aziendali specifiche sull’utilizzo delle password, visto che spesso questa tipologia di truffa avviene utilizzando account precedentemente compromessi. Spesso vengono mandate mail a raffica a tutti i clienti, indicando le nuove coordinate bancarie.
Oltre alla perdita in termini economici, che può essere più o meno grave, in questo caso è sicuro un grosso danno all’immagine dell’azienda che può compromettere il rapporto con il cliente.
27 Maggio 2019
