Dalla mail al bonifico: come funziona la truffa del Ceo (e come fermarla)
Dati sensibili, bonifici urgenti e richieste anomale: la truffa del Ceo sfrutta fiducia e gerarchie aziendali, ecco come riconoscerla
È molto diversa da un attacco informatico e, in qualche modo, è persino più subdola: la truffa del Ceo, nota anche come truffa del capo o Bec (da Business Email Compromise) è infatti una manipolazione mirata che sfrutta fiducia, urgenza e gerarchie aziendali.
Fino a pochi anni fa era una delle frodi più diffuse al mondo e, purtroppo, di recente è tornata in auge. La sua caratteristica principale? Colpisce direttamente le persone, inducendole a compiere azioni apparentemente legittime.
- Che cos'è e come funziona la truffa del Ceo?
- Le possibili richieste del finto Ceo
- Come si riconosce questa truffa?
- Come evitarla?
Che cos’è e come funziona la truffa del Ceo?
Infatti, questa truffa è una forma evoluta di frode informatica che combina tecniche di social engineering con strumenti di impersonificazione digitale. In poche parole, chi la mette in atto si finge un dirigente o una figura apicale dell’azienda con cui la vittima collabora e, con richieste credibili e spesso urgenti, spinge a effettuare bonifici o condividere dati sensibili.
Dal punto di vista operativo, l’attacco si articola in più fasi. La prima è quella di raccolta informativa (reconnaissance): i criminali analizzano struttura aziendale, ruoli, flussi autorizzativi, fornitori e abitudini comunicative. Per farlo sfruttano fonti aperte, social network professionali o dati già esposti in precedenti violazioni, il tutto con lo scopo di costruire un contesto credibile e ridurre al minimo i sospetti.
Segue poi la fase di impersonificazione, che può avvenire in diversi modi: attraverso lo spoofing di un indirizzo email simile a quello aziendale o persino di un account Whatsapp business, tramite la compromissione reale di una casella di posta (account takeover), oppure con la registrazione di domini quasi identici a quello ufficiale. Il messaggio viene costruito replicando stile, firma e tono del dirigente, spesso con richieste coerenti con il ruolo e il momento operativo dell’azienda.
Le possibili richieste del finto Ceo
Si passa poi alla fase esecutiva, che si basa su due leve principali: urgenza e riservatezza. La comunicazione chiede di condividere dati sensibili, modificare coordinate bancarie, fare delle spese digitali o ancor più comunemente effettuare un bonifico, sottolineando la necessità di agire rapidamente e senza coinvolgere altri interlocutori.
In alcuni casi il truffatore non si limita a una singola email o a un singolo messaggio, ma si spinge verso uno scambio articolato (seppur sempre serrato nei tempi) di comunicazioni, dilatando i tempi sia per rafforzare la propria credibilità che per guidare la vittima passo dopo passo.
Come si riconosce questa truffa?
Un po’ come per tutti i raggiri, è molto importante saper cogliere anche il più piccolo segnale. Questo significa, per esempio, che il primo campanello d’allarme dovrebbe suonare già all’arrivo di una richiesta fuori dai flussi abituali, a maggior ragione se la richiesta in questione è accompagnata da una certa fretta e urgenza.
Per essere ancora più certi, bisogna controllare ogni dettaglio del mittente. Se il messaggio è arrivato via mail, è bene leggere con attenzione l’indirizzo da cui il messaggio proviene e non fermarsi al nome visualizzato, che potrebbe ingannare. Per esempio, nome e cognome visualizzati potrebbero essere Capo Azienda, ma l’indirizzo mail potrebbe essere caqoazienda@dominio.com: basta a una lettera diversa nel dominio o un’estensione insolita per smascherare un tentativo di impersonificazione.
Un altro segnale pratico riguarda il tipo di richiesta. Se arriva una disposizione di pagamento, una modifica improvvisa delle coordinate bancarie o una richiesta di dati sensibili non prevista dai processi interni, è necessario fermarsi e ricordare che tutte le aziende strutturate prevedono sempre passaggi autorizzativi chiari: se vengono saltati o aggirati, il rischio è più che reale.
Poi, lo abbiamo già detto ma ripetiamolo pure, attenzione anche ai tempi e alle modalità: un messaggio che chiede di agire subito e che insiste nel non coinvolgere altri colleghi o di non effettuare una telefonata proprio al mittente sono tutti segnali di truffa.
Come evitarla?
Evitare questa truffa in realtà è più semplice del previsto: bisogna fare esattamente il contrario di ciò che viene richiesto. Se viene chiesto di non sentire colleghi o superiori, sentite subito colleghi o superiori. Se viene richiesto di non telefonare, telefonate: digitando il numero corretto del capo azienda avrete certezza che non si tratta di lui.
