Anche le big cascano in questa truffa. Tu sai come riconoscerla?

La catena di multisala francese Pathé perde 19.2 milioni di euro a causa della “truffa del CEO”. Licenziati il consigliere delegato di Pathé Olanda DM  e il direttore finanziario ES .

Come è potuto accadere?

DM  riceve una e-mail dal consigliere delegato di Pathé Francia, in cui chiede di trasferire 826,521€ ad un impiegato di una società di consulenza  in Canada, che avrebbe dovuto girare la somma ad un’azienda di DubaiSi tratterebbe di una transazione segreta volta all’acquisizione della suddetta società. Per questo viene richiesto a DM  di comunicare soltanto attraverso e-mail, per evitare possibili fughe di informazioni e per avere un margine di vantaggio sulla concorrenza. Nella mail è specificato che i soldi sarebbero stati rimborsati a Pathé Olanda a fine mese.

DM inizialmente è perplesso del fatto che una richiesta del genere venga fatta alla filiale olandese, senza il coinvolgimento del Consiglio di Sorveglianza, ne discute quindi con il direttore finanziario ES .

ES si accerta dell’effettiva esistenza dell’impiegato della società canadese  e dell’azienda di Dubai e chiede al consigliere delegato francese una notifica ufficiale firmata per preparare il pagamento.

Il 9 marzo 2018 arriva una nuova mail in cui si informa che l’acquisizione sta procedendo con successo e si richiede di inviare un pagamento del 10% della transazione totale (19.2 milioni). In allegato un documento con le firme dell’amministratore delegato francese e dei soci di famiglia; avendo controllato le firme ES procede al pagamento.

Dal 12 al 18 marzo ES  va in vacanza e nel frattempo le comunicazioni vengono gestite da DM.

Il 13 marzo viene richiesto un secondo pagamento di 2.479.563€ che viene eseguito; poi un terzo pagamento il 22 marzo e un quarto pagamento il 27, entrambi di circa 5 milioni di euro.

Infine, il 28 marzo Pathé scopre la truffa.I due dirigenti coinvolti vengono licenziati.

Siamo a conoscenza della frode perché ES  ha contestato il suo licenziamento nel tribunale di Amsterdam, gli atti e la sentenza sono visionabili a questo link.

In sua difesa ES r dice di non aver mai ricevuto una formazione sulle frodi e di aver preso tutte le precauzioni necessarie.

Avendo ritenuto che in quelle condizioni la frode non risultava ragionevolmente evidente, il giudice ha reputato inadeguate le motivazioni del licenziamento e ha imposto a Pathé di corrispondere lo stipendio a ES r fino alla regolare scadenza del contratto.

Se non fosse stato per questo processo probabilmente tutta la vicenda non sarebbe emersa , come viene spesso deciso dalle aziende colpite, in quanto potrebbe costituire un danno all’immagine.

Come avviene la “truffa del CEO”?

  • Questo tipo di attacco è rivolto a dipendenti e manager che in un’azienda sono in grado di muovere denaro, soprattutto di fare bonifici online: a questi viene inviata una mail apparentemente da una figura ai vertici dell’azienda stessa, nella quale si chiede espressamente di inviare un bonifico urgente verso un certo conto corrente, che appartiene in realtà al truffatore.
  • Data l’urgenza e la pressione dai vertici aziendali, il dipendente è portato ad eseguire l’operazione generando un danno all’organizzazione. Ecco degli esempi:
  • Inizialmente il truffatore sottrae le password di accesso alla casella di posta elettronica di un manager aziendale, osserva le comunicazioni, i clienti e le modalità di pagamento.

Nel caso Pathé l’indirizzo e-mail inizialmente utilizzato corrispondeva a quello ufficiale, questo riduce moltissimo la probabilità che il destinatario identifichi la truffa.

  • In alternativa il truffatore può entrare nella mail di un dipendente qualsiasi e avendo osservato le comunicazioni con i manager e studiato l’organigramma dell’azienda, crea una finta e-mail del top manager, attraverso la quale contattare il reparto amministrativo dell’azienda per richiedere un pagamento, generalmente da effettuarsi su un conto all’estero.
  • In una versione alternativa della truffa, l’attaccante può inserirsi in una reale transazione già in corso, intercettare la mail contenente gli estremi per effettuare il pagamento e sostituire il conto corrente su cui versare la somma con uno di propria scelta. Questa variante prende il nome di “man in the middle

Le varianti sono molte, ma in tutti i casi l’utente finale viene raggirato e convinto a fare un pagamento sull’iban del criminale, che poi ha tutto il tempo di prelevare la somma e difficilmente viene rintracciato dalla polizia postale se ha avuto l’accortezza di usare un conto estero e un nome falso.

Quanto è diffuso questo fenomeno?

Symantec stima che circa 400 aziende al giorno cadano nella “truffa del CEO”; questo dato è incompleto dato che si limita alle sole truffe che vengono dichiarate.

Nella maggior parte dei casi (il 40%) la truffa è rivolta alle piccole e medie imprese, contrariamente a quanto si potrebbe pensare leggendo i giornali che trattano principalmente le truffe che portano a ingenti perdite, sia per una scelta giornalistica, sia per il fatto che le piccole imprese tendono a non dichiarare le truffe subite.

Perché piccole e medie imprese sono più a rischio?

Questa truffa è particolarmente efficace sulle piccole imprese perché generalmente c’è meno controllo sui pagamenti effettuati e c’è meno formazione e conoscenza del fenomeno.

Due fattori che influiscono sulla riuscita della truffa sono:

  • il timore reverenziale per il capo e il desiderio di compiacerlo;
  • l’urgenza della transazione.

Siamo immersi in un mondo sempre più veloce e immateriale e siamo ormai abituati ad effettuare pagamenti in maniera rapida. Facciamo fatica a percepire che questi sistemi così comodi possano avere dei rischi e che quindi siano opportuni maggiori controlli a scapito di una perdita minima in termini di tempo.

Secondo i dati dell’FBI, negli ultimi tre anni, le aziende a livello mondiale hanno perso oltre 3 miliardi di dollari per truffe di questo genere, che mirano ad aggirare l’utente finale, convincendolo ad effettuare un pagamento e bypassando così qualsiasi antivirus o software di sicurezza.

Scarica

Scarica la nostra guida gratuita

con i 10 comportamenti dei tuoi dipendenti che mettono a serio rischio la tua azienda per prevenire truffe informatiche come questa.
Scarica