La CEO Fraud è un attacco informatico estremamente pericoloso, semplice a livello concettuale ma anche molto efficace, avendo causato più di 12 miliardi di dollari di danni economici in 5 anni su circa 80.000 incidenti noti (fonte: FBI). CEO Fraud, o più correttamente una Business e-mail Compromise (BEC), si verifica ogni qual volta un soggetto riesce a impersonare un alto dirigente aziendale (CEO, CFO, o altri membri della C-Suite) e a ottenere, tramite disposizioni impartite via e-mail, un vantaggio indebito per sé o i suoi complici.
Come funziona la truffa del CEO
L’esempio da manuale, cui corrisponde la fattispecie più semplice di BEC, è il finto CEO che, sottraendo a quello legittimo le credenziali del suo account e-mail, impone a un collega dell’amministrazione di eseguire un bonifico urgente verso un conto corrente sconosciuto, intestato a un prestanome (money mule). Partendo da uno schema concettualmente semplice ma molto efficace, la truffa del CEO è poi evoluta raggiungendo livelli di complessità notevoli e causando danni ad aziende del calibro di Toyota e della francese Pathé, con un costo – in quest’ultimo caso – di 21,5 milioni di dollari. In ognuno dei casi studiati si riscontra sempre una componente di social engineering: il finto CEO punta sulla sua autorità per imporre riservatezza, per accelerare l’esecuzione del bonifico o la consegna dei documenti riservati, magari spalleggiato da un finto CFO che si intromette nello scambio di e-mail per rafforzare l’urgenza dell’operazione. Le fattispecie sono realmente infinite e molto pericolose: nonostante esistano strumenti di protezione degli account e-mail, tecniche di strong authentication, analisi dei domini e altro ancora, il fattore umano è determinante e quindi la consapevolezza – che talvolta manca – è il primo elemento da costruire. Nei casi più semplici, infatti, basterebbe una telefonata al vero CEO per smascherare l’inganno, ma senza una corretta attività di security awareness la vittima rischia di non sospettare nulla e, nella convinzione di eseguire un ordine di un superiore, crea un danno enorme alla sua azienda e, probabilmente, alla sua carriera.
CEO Fraud e finance, un legame indissolubile
La truffa del CEO minaccia moltissime aziende che operano nel mercato finanziario e, in particolare, le banche. Il motivo è peraltro intuibile: visto che nella stragrande maggioranza dei casi la CEO Fraud viene eseguita per disporre una transazione economica, la banca è in ogni caso coinvolta dallo scam. Nella sua variante ‘classica’, il trasferimento di denaro avviene dal conto corrente dell’azienda a quello del prestanome (money mule), che nella maggior parte dei casi è inconsapevole di essere parte della truffa, in quanto a sua volta ingannato tramite social engineering. Una volta raggiunto il conto corrente del money mule, il denaro viene immediatamente fatto transitare verso conti correnti esteri (spesso in Asia), dove è quasi impossibile da recuperare se non si agisce con la massima tempestività.
In tutto lo schema, la banca ha l’onere di vigilare su attività sospette come bonifici anomali o importanti e repentini spostamenti di denaro: i sistemi antifrode, magari basati su tecniche avanzate come il Machine Learning, devono essere in grado di identificare istantaneamente attività ad elevato coefficiente di rischio. In caso contrario, si può porre un problema di conformità con la normativa in essere e di sicuro si verifica un danno non da poco alla brand reputation dell’istituto. Inoltre, non mancano i casi in cui la CEO Fraud viene eseguita direttamente ai danni di manager delle banche: anziché passare dalla sua divisione amministrativa, il finto CEO incarica direttamente la banca di eseguire il bonifico, facendo sempre perno sulle leve di cui sopra, e magari rafforzandole con un piano abilmente architettato. In questo caso, il coinvolgimento dell’istituto finanziario è diretto e passibile di azioni da parte dell’azienda stessa. Senza contare, cosa tutt’altro che secondaria, il danno d’immagine.
Come ci si difende da una CEO Fraud
Difendersi efficacemente da un Business e-mail Compromise dipende dalla capacità dell’azienda di miscelare tre fattori: processi, tecnologie e comportamenti, che insieme definiscono la security posture dell’organizzazione e le permettono di prevenire e reagire a ogni tentativo di CEO Fraud.
I processi sono il punto di partenza: un’azienda strutturata, conforme alle normative e con policy stringenti sottopone ogni disposizione finanziaria a un workflow che coinvolge diverse persone e ruoli, anche quando l’input proviene dal CEO in persona. Nei casi meno elaborati, ciò è sufficiente per prevenire e smascherare un tentativo di frode. Ipotesi ancora migliore (visti che i casi elaborati sono all’ordine del giorno) è dotarsi di strumenti tecnici di protezione: non dimentichiamo che il BEC avviene per definizione via e-mail, da cui il possibile impiego di sistemi e procedure antifrode, di tecnologie di analisi delle e-mail e dei domini, di schemi di strong authentication e molto altro.
Infine, ma non meno importante, alla domanda “come ci si difende da una CEO fraud” si deve rispondere – cosa cui si è già fatto cenno – con la consapevolezza della sua esistenza, dei rischi e degli strumenti di protezione. L’azienda deve quindi predisporre un percorso strutturato, molto pratico e ingaggiante, di formazione sulla sicurezza, sostituendo la tradizionale lezione in aula con pillole on-demand personalizzate, con un percorso di Assessment continuo e, soprattutto, con simulazioni atte a verificare il miglioramento della consapevolezza e delle competenze nel corso del tempo. La sicurezza informatica è diventata una sfida continua tra chi attacca e chi difende, e non c’è modo di prevedere quale sarà il prossimo schema di social engineering a supporto di una CEO Fraud: l’azienda, però, può miscelare in maniera corretta i giusti processi, la tecnologia di supporto, la consapevolezza e un po’ di giusta diffidenza, finendo per arginare il fenomeno e per dormire sonni tranquilli.
