Come avviene la CEO Fraud e perché colpisce soprattutto il finance

16 Dicembre 2020

La CEO Fraud è un attacco informatico estremamente pericoloso, semplice a livello concettuale ma anche molto efficace, avendo causato più di 12 miliardi di dollari di danni economici in 5 anni su circa 80.000 incidenti noti (fonte: FBI). CEO Fraud, o più correttamente una Business e-mail Compromise (BEC), si verifica ogni qual volta un soggetto riesce a impersonare un alto dirigente aziendale (CEO, CFO, o altri membri della C-Suite) e a ottenere, tramite disposizioni impartite via e-mail, un vantaggio indebito per sé o i suoi complici.

Come funziona la truffa del CEO

L’esempio da manuale, cui corrisponde la fattispecie più semplice di BEC, è il finto CEO che, sottraendo a quello legittimo le credenziali del suo account e-mail, impone a un collega dell’amministrazione di eseguire un bonifico urgente verso un conto corrente sconosciuto, intestato a un prestanome (money mule). Partendo da uno schema concettualmente semplice ma molto efficace, la truffa del CEO è poi evoluta raggiungendo livelli di complessità notevoli e causando danni ad aziende del calibro di Toyota e della francese Pathé, con un costo – in quest’ultimo caso – di 21,5 milioni di dollari. In ognuno dei casi studiati si riscontra sempre una componente di social engineering: il finto CEO punta sulla sua autorità per imporre riservatezza, per accelerare l’esecuzione del bonifico o la consegna dei documenti riservati, magari spalleggiato da un finto CFO che si intromette nello scambio di e-mail per rafforzare l’urgenza dell’operazione. Le fattispecie sono realmente infinite e molto pericolose: nonostante esistano strumenti di protezione degli account e-mail, tecniche di strong authentication, analisi dei domini e altro ancora, il fattore umano è determinante e quindi la consapevolezza – che talvolta manca – è il primo elemento da costruire. Nei casi più semplici, infatti, basterebbe una telefonata al vero CEO per smascherare l’inganno, ma senza una corretta attività di security awareness la vittima rischia di non sospettare nulla e, nella convinzione di eseguire un ordine di un superiore, crea un danno enorme alla sua azienda e, probabilmente, alla sua carriera.

CEO Fraud e finance, un legame indissolubile

La truffa del CEO minaccia moltissime aziende che operano nel mercato finanziario e, in particolare, le banche. Il motivo è peraltro intuibile: visto che nella stragrande maggioranza dei casi la CEO Fraud viene eseguita per disporre una transazione economica, la banca è in ogni caso coinvolta dallo scam. Nella sua variante ‘classica’, il trasferimento di denaro avviene dal conto corrente dell’azienda a quello del prestanome (money mule), che nella maggior parte dei casi è inconsapevole di essere parte della truffa, in quanto a sua volta ingannato tramite social engineering. Una volta raggiunto il conto corrente del money mule, il denaro viene immediatamente fatto transitare verso conti correnti esteri (spesso in Asia), dove è quasi impossibile da recuperare se non si agisce con la massima tempestività.

In tutto lo schema, la banca ha l’onere di vigilare su attività sospette come bonifici anomali o importanti e repentini spostamenti di denaro: i sistemi antifrode, magari basati su tecniche avanzate come il Machine Learning, devono essere in grado di identificare istantaneamente attività ad elevato coefficiente di rischio. In caso contrario, si può porre un problema di conformità con la normativa in essere e di sicuro si verifica un danno non da poco alla brand reputation dell’istituto. Inoltre, non mancano i casi in cui la CEO Fraud viene eseguita direttamente ai danni di manager delle banche: anziché passare dalla sua divisione amministrativa, il finto CEO incarica direttamente la banca di eseguire il bonifico, facendo sempre perno sulle leve di cui sopra, e magari rafforzandole con un piano abilmente architettato. In questo caso, il coinvolgimento dell’istituto finanziario è diretto e passibile di azioni da parte dell’azienda stessa. Senza contare, cosa tutt’altro che secondaria, il danno d’immagine.