Capo o truffatore? La truffa degli “ordini del capo”

Hai ricevuto un messaggio dal tuo capo o da un collega che ti chiede di “risolvere un problema” in modo imprevisto? Attenzione alle frodi! Come proteggere te stesso e la tua azienda da un potenziale attacco?

Come riconoscere che un messaggio in apparenza proveniente dal tuo capo è in realtà il primo passo di una truffa?

Immagina di ricevere una chiamata o un messaggio dal tuo superiore, o forse anche dal capo dell’intera azienda. Nel messaggio ti avverte di una brutta situazione in arrivo. Si prospettano multe o altre perdite finanziarie per l’azienda, grossi problemi per il tuo reparto e persino il tuo possibile licenziamento. Un brivido ti corre lungo la schiena, ma hai la possibilità uscirne indenne! Basta non perdere tempo e fare alcune cose che di solito non fai, ma andrà tutto bene…

Un momento. Fai un bel respiro prima di fare alcunché. C’è il 99% di possibilità che l’intera emergenza sia completamente inventata e opera di truffatori. Come si riconosce un simile attacco, e come puoi difenderti?

Anatomia dell’attacco

Queste truffe esistono in dozzine di varianti. I truffatori possono descrivere vari problemi affrontati dall’azienda a seconda del Paese, possono citare il coinvolgimento delle autorità di regolamentazione, della polizia o dei principali partner commerciali, e possono suggerire i modi per risolvere il problema. Soprattutto, si basano su una serie di punti chiave, cioè appigli psicologici cruciali, senza i quali l’attacco diventa pressoché impossibile. È da questi che è possibile riconoscere l’attacco.

  1. Autorità del superiore o semplice fiducia in una persona nota. La maggior parte delle persone ormai ha sviluppato resistenza alle richieste insolite provenienti da estranei, come un ispettore di polizia che ti contatta via messaggistica istantanea o un impiegato di banca che si dice personalmente preoccupato del tuo benessere. Questo schema è diverso: la persona che si avvicina alla vittima sembra essere qualcuno di noto in certa misura, e per giunta una persona abbastanza importante. I truffatori spesso scelgono il profilo di un manager del board come esca. Una tale figura ha, in primo luogo, autorità e, in secondo luogo, è verosimilmente nota alla vittima, ma non abbastanza da riconoscerne le inevitabili differenze di stile di scrittura o di comunicazione. Esistono anche variazioni a questo schema in cui i truffatori impersonano un collega di un reparto pertinente, ad esempio la contabilità o l’ufficio legale.
  2. Reindirizzamento a una parte esterna. Nei casi più primitivi, il “collega” o il “manager” che ti contatta è anche la persona da cui ricevi una richiesta finanziaria. Più spesso, però, dopo il contatto iniziale, il “capo” suggerisce di discutere i dettagli della questione con un soggetto esterno che ti contatterà a breve. A seconda dello schema in atto, questa “persona designata” può essere presentata come un funzionario delle forze dell’ordine o del fisco, un impiegato di banca, un revisore dei conti e così via, a condizione che non si finga qualcuno che la vittima conosce. Il “capo” chiederà di offrire alla “persona designata” la massima assistenza in tempi celeri. Detto questo, gli schemi più elaborati, come nel caso dei 25 milioni di dollari rubati a seguito di una videoconferenza deepfake, consistono in truffatori che si fingono dipendenti dell’azienda.
  3. La richiesta deve essere urgente, in modo da non concedere alla vittima il tempo di analizzare la situazione. “L’audit è domani”, “i soci sono appena arrivati”, “l’importo viene addebitato oggi pomeriggio”… insomma: devi agire subito. I truffatori spesso conducono questa parte della conversazione per telefono e dicono alla vittima di non riagganciare finché il denaro non viene trasferito.
  4. Segretezza assoluta. Per evitare interferenze nei piani, il “capo” avverte subito la vittima che è severamente vietato discuterne con chiunque poiché la divulgazione porterebbe a conseguenze disastrose. Il truffatore potrebbe dire di non avere nessun altro di cui fidarsi o che alcuni degli altri dipendenti sono criminali o hanno atteggiamenti sleali nei confronti dell’azienda. In genere cercherà di impedire alla vittima di parlare con qualcuno finché le sue richieste non saranno soddisfatte.
Esempio di e-mail truffa da un falso capo

Esempio di e-mail truffa da un falso capo

Obiettivo dell’attacco

Un attacco può perseguire obiettivi diversi a seconda del ruolo lavorativo della vittima e del suo livello di reddito. Se la vittima è autorizzata dalla società a eseguire transazioni finanziarie, i truffatori cercheranno di convincerla a effettuare un pagamento segreto urgente a qualche fornitore, ad esempio uno studio legale per la risoluzione di problemi, o semplicemente a trasferire i soldi dell’azienda in un “conto sicuro”.

I dipendenti che non gestiscono denaro saranno presi di mira per ottenere dati aziendali come le password dei sistemi interni oppure per estorcere fondi personali. I truffatori possono inventare dozzine di retroscena che vanno da una fuga di dati contabili che mette a repentaglio l’account della vittima alla necessità di mantenere chiuso il divario di cassa fino al termine dell’audit. In ogni caso, alla vittima verrà chiesto di utilizzare in qualche modo il proprio denaro: trasferendolo su un altro conto, acquistando buoni regalo o voucher, oppure ritirandolo e consegnandolo a una “persona di fiducia”. Per risultare più persuasivi, i truffatori possono promettere alla vittima un generoso compenso per le spese e gli sforzi compiuti, ma in un secondo momento.

Dettagli convincenti

Post sui social media e continue fughe di dati hanno reso molto più facile ai truffatori lanciare attacchi personalizzati e preparati con cura. Possono trovare il nome completo della vittima, quello del diretto superiore, dell’amministratore delegato e dei dipendenti dei reparti pertinenti, ad esempio la contabilità, e le esatte designazioni dei reparti stessi; possono trovare immagini di tutte queste persone per creare profili di messaggistica istantanea convincenti; e, se necessario, anche campioni vocali per creare deepfake audio. Se ci sono molti soldi in gioco, i truffatori possono investire molto tempo nel rendere lo scenario il più convincente possibile. In alcuni casi, gli aggressori hanno dimostrato di conoscere persino l’ubicazione dei reparti all’interno degli edifici e le posizioni delle scrivanie dei singoli dipendenti.

Aspetti tecnici dell’attacco

Schemi sofisticati come questo includono quasi sempre una telefonata da parte dei truffatori. Tuttavia, l’iniziale “chiamata del capo” può anche arrivare sotto forma di e-mail di o messaggio istantaneo. Nelle versioni più semplici dell’attacco, i truffatori creano un nuovo account di messaggistica istantanea o e-mail con il nome del manager e, nei casi più sofisticati, hackerano l’e-mail aziendale o gli account personali. Questo è il cosiddetto attacco BEC (Business E-mail Compromise, compromissione di e-mail aziendale).

Per quanto riguarda le telefonate, i truffatori utilizzano spesso servizi di spoofing del numero oppure ottengono una copia illegale della scheda SIM: l’ID chiamante della vittima mostrerà pertanto il numero di telefono generale dell’azienda o quello del capo.

I truffatori possono utilizzare generatori di voci deepfake, ragion per cui una voce nota all’altro capo del telefono non è garanzia di autenticità. Questi schemi possono persino utilizzare le videochiamate, in cui anche il volto del chiamante è un deepfake.

Proteggersi dai truffatori

Innanzitutto, due cose che possono proteggerti da questo tipo di attacco sono l’attenzione e il coraggio di verificare le informazioni nonostante le minacce dei truffatori.

Fai le cose con calma e senza panico. I truffatori mirano a offuscare il tuo giudizio. Mantieni la calma e verifica tutti i fatti. Anche se l’interlocutore insiste per non farti riagganciare, puoi sempre fingere che sia caduta la linea. Questo ti farà guadagnare un po’ di tempo per fare più fact-checking.

Presta attenzione all’indirizzo, al numero di telefono e al nome utente del mittente. Se sei abituato a corrispondere con il tuo capo via e-mail, ma all’improvviso ricevi un messaggio istantaneo a suo nome da un numero sconosciuto, è il caso di drizzare le orecchie. Se hai sempre parlato con il capo su un’app di messaggistica istantanea e ricevi un nuovo messaggio privo di cronologia, significa che qualcuno sta utilizzando un account appena creato: e questo è un grossissimo campanello d’allarme. Sfortunatamente, i criminali informatici a volte utilizzano indirizzi e-mail falsificati, difficili da distinguere da quelli reali, oppure e-mail o account di messaggistica istantanea violati. Tutto ciò rende molto più difficile individuare la contraffazione.

Presta attenzione ai piccoli dettagli. Se una persona che conosci di nome si è rivolta a te con una richiesta strana, c’è qualcosa nella situazione che ti dice che potrebbe trattarsi di un impostore? Le sue e-mail sembrano leggermente insolite? Usa figure retoriche insolite? Normalmente vi date del tu ma ora usa un tono formale? Prova a chiedere qualcosa che solo la persona reale può sapere.

Mettiti sul chi va là se ricevi una richiesta insolita. Se il tuo capo o un collega ti chiede urgentemente di fare qualcosa di insolito e di mantenerlo segreto, si tratta quasi sempre di una possibile truffa. Pertanto, è fondamentale verificare le informazioni ottenute e confermare l’identità della persona. Il minimo che puoi fare è contattare quella persona utilizzando un canale di comunicazione diverso. Vedersi di persona è la cosa migliore, ma se non fosse possibile, chiama il numero dell’ufficio o di casa che hai nella rubrica o digita quel numero manualmente, ma non comporre mai il numero ricevuto per evitare di richiamare i truffatori. Usa qualsiasi altro canale di comunicazione disponibile. Il numero di cellulare che ti ha chiamato, anche se corrisponde al numero reale del tuo capo o di un collega che hai salvato nella rubrica, potrebbe essere stato compromesso da uno scambio di SIM o dal semplice furto del telefono.

Parla con i tuoi colleghi. Nonostante sia stato chiesto di “mantenere tutto segreto”, a seconda della natura della richiesta, non fa male verificare le informazioni con i colleghi. Se ad esempio ricevi un messaggio proveniente dalla contabilità, contatta altre persone di quel reparto.

Avverti i colleghi e le forze dell’ordine. Se hai ricevuto un messaggio del genere, significa che i truffatori stanno prendendo di mira la tua organizzazione e i tuoi colleghi. Se i loro trucchi non funzionano con te, proveranno in altri reparti. Avverti i colleghi, avverti la sicurezza e segnala il tentativo di truffa alla polizia.

Consigli