La truffa dell’IBAN è un tipo di frode che colpisce tutti, sia i singoli cittadini, sia le piccole-medie imprese, sia le grandi realtà nazionali, come la Zecca dello Stato. Ecco quindi qualche pratica regola da seguire per proteggersi da questo tipo di frode.
Cos’è la truffa dell’IBAN
La truffa dell’IBAN è un tipo di frode in cui un cyber criminale riesce a interporsi nelle comunicazioni tra un fornitore e un cliente trasmettendo a quest’ultimo un IBAN diverso rispetto a quello originale, portando l’ignaro cliente a effettuare il pagamento sul conto corrente dell’impostore.
La comunicazione del fittizio “cambio dell’IBAN” può avvenire tramite più modalità, le più usate sono:
- Un’email con cui il cyber criminale, fingendosi il fornitore, comunica al cliente il cambio di IBAN con la richiesta di usare quest’ultimo per i pagamenti dovuti.
- Le fatture di cortesia, intercettata dall’hacker attraverso un programma malevolo installato sul computer del fornitore e capace di modificare l’IBAN presente nel documento prima che questo arrivi al cliente.
La truffa dell’IBAN alla Zecca dello Stato
Tra i casi di truffa dell’IBAN più eclatanti e divulgati di recente vi è quello della truffa alla Zecca dello Stato: i truffatori, fingendosi un fornitore dell’organizzazione, hanno comunicato un nuovo numero di conto corrente chiedendo che i pagamenti fossero effettuati su quest’ultimo anziché su quello già adoperato in passato.
Purtroppo il dipendente che ha ricevuto la comunicazione, attraverso un’email apparentemente identica a quella utilizzata in precedenza per le comunicazioni con questo fornitore, ha abboccato all’esca: nel giro di una settimana ha versato sul conto indicato l’ammontare richiesto tramite due bonifici: uno da €1.000.000,00 (un milione) di euro, l’altro da €2.000.000,00 (due milioni).
Per fortuna, poco dopo la Zecco dello Stato si è accorta dell’inganno e, grazie all’intervento della Polizia Postale, è riuscita a bloccare il bonifico da €2.000.000 di euro emesso 24 ore prima e a recuperare quasi tutta la somma del bonifico precedente.
7 Suggerimenti pratici per difenderti dalla truffa dell’IBAN
Al di là delle comuni pratiche di igiene informatica, ecco 7 indicazioni pratiche che ogni azienda può mettere subito in atto per scongiurare questo tipo di attacco.
- Definire una procedura sicura per la comunicazione di cambio IBAN da trasmettere ai fornitori. Es. “Se cambiate IBAN dovete mandarci una PEC e la variazione deve essere confermata tramite una video-call dal vostro referente aziendale. Qualsiasi altra comunicazione svolta con modalità differenti non verrà accettata per questioni di sicurezza”
N.B. la PEC da sola non è sufficiente in quanto anche questa può non essere sicura, con indirizzi simili a quelli “clonati” o ottenuta abusivamente - Definire una procedura (simile a quella prima o potenziata) per la comunicazione di un eventuale cambio di IBAN della propria azienda da trasmettere ai clienti. Ciò al fine di evitare che i cyber criminali usino la vostra fattura/email per lanciare l’attacco. Per esempio, oltre a quanto scritto prima, si potrebbe aggiungere “Il nuovo IBAN verrà indicato anche su questa pagina web dell’area clienti/fornitori e verrà confermata dal nostro referente…”.
- In linea generale, quando c’è una richiesta di questo genere, verificare l’attendibilità delle informazioni ricevute tramite altri canali ottenuti da comunicazioni affidabili precedenti o siti istituzionali. Non utilizzare mai i contatti citati direttamente nella richiesta in quanto probabilmente falsi.
- Impostare una policy che impedisca l’attivazione dell’inoltro delle email della caselle di posta aziendali se non con l’autorizzazione da parte degli amministratori di sistema. Questo perché i cyber criminali, per tenere traccia delle comunicazioni utili per la buona riuscita del colpo, generalmente impostano l’inoltro delle email della casella compromessa.
- Per i fornitori abituali, usare di default gli IBAN salvati in precedenza.
- In generale, fare molta attenzione alle coordinate bancarie provenienti da paesi extraeuropei, poiché i truffatori utilizzano spesso conti internazionali.
- Ricordare ai dipendenti di non abbassare mai la guardia, specialmente al venerdì e nei giorni prefestivi: il livello di attenzione del personale è generalmente più basso e i cyber criminali ottengono qualche giorno a disposizione in più prima che avvengano i controlli di routine che potrebbero portare all’individuazione della frode.
Buone pratiche di igiene informatica: perché sono fondamentali per evitare la truffa dell’IBAN
Al di là delle indicazioni specifiche esposte in precedenza, per evitare la truffa dell’IBAN l’aspetto più importante è implementare abitualmente le buone pratiche di igiene informatica.
Questo perché tale tipo di truffa non si verifica dall’oggi al domani ma è frutto di una più lunga e attenta attività di osservazione e raccolta di dati iniziata da un’infiltrazione dei cyber criminali nella propria rete.
Infiltrazione dovuta a una falla del sistema o, più probabilmente, da un uso scorretto dei dispositivi es. password troppo semplici o usate troppo a lungo, aggiornamenti software non installati ecc.
Per tale motivo si evidenzia l’importanza di formare e aggiornare costantemente i dipendenti in merito non solo alle best practice di igiene informatica, ma anche alle minacce della rete e come riconoscerle prima che sia troppo tardi.
Vuoi fornire ai tuoi dipendenti questo tipo di formazione ma non sai come fare? Contattaci, ti presenteremo il nostro servizio di Security Awareness!
