skip to Main Content
DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA: Violazione Del Quartiere, Il Falso Ordine Di Trasferimento Internazionale O “frode Al Presidente”

DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA: Violazione del quartiere, il falso ordine di trasferimento internazionale o “frode al presidente”

La “violazione trimestrale” è una riunione informativa ogni tre mesi che descrive in dettaglio un incidente di sicurezza. In questo file, la CNIL discute le frodi con il presidente e fornisce raccomandazioni per prevenire e proteggere da questo tipo di attacco.

Il falso ordine di trasferimento internazionale o FOVI (comunemente noto come “frode al presidente”), consiste nel recuperare indebitamente denaro da pagare a una terza parte legittima.

Durante questo attacco, che può combinare più tecniche, l’attaccante può provare, ad esempio, a convincere un manager o un decisore dell’azienda a trasferire denaro (ad esempio in cambio di un ordine) essendo riuscito in precedenza a modificarlo o aggiornarlo le coordinate bancarie del legittimo destinatario (ad esempio un fornitore) al fine di recuperare a suo nome i fondi da versargli.

Questo attacco può colpire tutte le aziende, indipendentemente dalle dimensioni e dal settore.

Qual è il modus operandi della frode presidenziale?

  1. La fase di analisi

L’attacco inizia con una fase di analisi dell’ambiente aziendale . Le informazioni disponibili su Internet sono numerose e consentono, con poche ricerche, di trovare informazioni abbastanza precise sul settore dell’azienda, sul suo ambiente professionale, sui suoi clienti o sui suoi fornitori.

Inoltre, le informazioni sulle assunzioni o gli organigrammi, spesso disponibili online, possono fornire una conoscenza precisa del funzionamento dell’azienda e della sua organizzazione: chi lavora in quale reparto? Come è organizzata la catena decisionale? Chi è responsabile di cosa?

Queste informazioni possono consentire all’autore dell’attacco di legittimare una richiesta, fingendo di essere un membro dell’azienda interessata.

  1. La creazione di un falso nome di dominio

L’autore dell’attacco crea quindi un nome di dominio vicino al nome di dominio dell’azienda target, di uno dei suoi fornitori o di un’amministrazione fiscale nota con diversi metodi quali:

  • il typosquatting , che consiste nel depositare un nome a dominio di avvicinamento del nome dell’azienda modificando un carattere, come se fosse un errore (“ente r taking” o “ent r recovery”);
  • il cybersquatting , che comporta, ad esempio, la modifica dell’estensione del sito (organizzazione. fr enterprise. com o azienda. uk ).
  1. Invio di un’e-mail di phishing mirata

Questo attacco continua con un’e-mail molto specifica che implementa tecniche di phishing mirate (”  spear phishing  “) utilizzando tecniche di ingegneria sociale (”  ingegneria sociale  “) consistenti nella ricerca di informazioni di contesto per rendere l’attacco più credibile.

Sono possibili diversi scenari, spesso complementari:

  • L’autore dell’attacco può fingere di essere qualcuno dell’azienda bersaglio o di un ente legittimo, come l’amministrazione fiscale, al fine di estrarre informazioni di base. Lo scopo qui è quello di rendere credibili, presso l’interessato, le richieste di informazioni riguardanti i clienti di questa azienda: fatture correnti o non pagate, addetti ai pagamenti e agli acquisti, processo di convalida messo in atto con questi ultimi, ecc.
  • L’autore dell’attacco può anche cercare di integrare le informazioni di base già recuperate altrove (sui siti web delle società interessate o sui social network) per dare credibilità alla frode che verrà poi lanciata con l’azienda spacciandola, ad esempio, per un fornitore. Pertanto, l’attaccante può affermare informazioni precise e contemporanee su un pagamento o un ordine in corso al fine di rendere più legittimo un falso ordine di trasferimento.

Un’e-mail inviata da un nome di dominio falso avrà maggiori possibilità di essere considerata legittima dalla persona che la riceve, soprattutto se l’aggressore cerca di imitare un provider o un’istituzione pubblica nota.

L’aggressore può anche, in alcuni casi, lanciare un attacco inviando un messaggio da un indirizzo di posta elettronica interno all’azienda presa di mira. Questo scenario può verificarsi quando la casella di posta di un dipendente di questa azienda, accessibile da Internet, è stata oggetto di furto di identità. Questo può seguire il furto della coppia identificativo / password di questo dipendente e consentirebbe al criminale informatico di legittimare l’ordine impartito, potendo inviare un’e-mail fingendo di essere qualcuno interno all’azienda bersaglio.

Le varianti dell’attacco

L’attacco può assumere diverse forme distinte:

PRESIDENTE FRODE

L’attacco può assumere la forma di frode ai danni del presidente , da cui prende il nome originario. Si tratterà di una richiesta urgente, presumibilmente convalidata in posizioni elevate (ad esempio dallo stesso CEO) e che inciterà urgentemente un dipendente a fare un accordo senza indugio. L’urgenza menzionata e la credibilità della richiesta possono indurre un dipendente a effettuare questo pagamento. L’aggressore usurpa, in questo caso, l’identità di una persona interna all’azienda target, tramite un’e-mail (nome di dominio falso o accesso fraudolento a una casella di posta interna dell’azienda) o una telefonata.

LA RICHIESTA DI MODIFICARE I DATI BANCARI

L’attacco può anche assumere la forma di una richiesta di modifica delle coordinate bancarie di un fornitore. L’obiettivo qui è garantire che il prossimo pagamento di uno o più clienti arrivi a finanziare il conto bancario dei criminali informatici anziché il conto dell’azienda bersaglio dell’attacco.

LA CREAZIONE DI FALSE FATTURE

L’attacco può infine consistere nella creazione di false fatture che invitano l’azienda presa di mira a pagare queste fatture per conto dei criminali informatici. Anche in questo caso, il contesto di questa richiesta, attraverso il lavoro preparatorio dei criminali, può rivelarsi del tutto legittimo agli occhi della persona presa di mira dall’attacco all’interno dell’azienda.

Come prevenire gli attacchi?

I criminali non mancano di ingegnosità o persuasione su come recuperare informazioni o richiedere urgentemente un accordo o modificare le coordinate bancarie.

In questo periodo di sconvolgimento delle abitudini lavorative, è fondamentale restare vigili. La sensibilizzazione dei dipendenti, l’impostazione di procedure note (aggiornate in base alla situazione) e il rispetto permanente delle regole sono buone pratiche. Ma soprattutto questo richiede l’attenzione di tutti sulle richieste ricevute. Qualche riflesso all’apertura di un’e-mail o di una telefonata a volte può essere sufficiente per evitare questa frode.

Educa gli utenti

È necessario rendere regolarmente gli utenti consapevoli dei rischi e delle buone pratiche:

  • non aprire allegati o fare clic su collegamenti nelle e-mail la cui origine non è affidabile (soprattutto quando gli allegati hanno un’estensione sospetta (.scr, .cab, ecc.));
  • non installare alcuna applicazione o programma di origine sconosciuta;
  • evitare siti non sicuri o illegali;
  • controllare i nomi a dominio delle email ricevute (il nome o l’estensione è corretto e corrisponde al sito ufficiale dell’azienda?);
  • contattare telefonicamente o di persona i contatti noti della società che effettua la richiesta e non utilizzando i dati di contatto riportati nell’e-mail inviata, al fine di ottenere conferma di tale richiesta di pagamento o modifica delle coordinate bancarie;
  • mantenere un elenco di contatti (fornitori e clienti).

Mettere in atto forti misure di sicurezza

Al fine di limitare i rischi di frode, furto di identità e accesso a e-mail professionali, si consiglia di:

  • monitorare nomi di dominio vicini a quello utilizzato per l’azienda e, se possibile, riservarli, non appena il marchio viene creato, per evitare cybersquatting o addirittura typosquatting (ad esempio, se il nome di dominio dell’azienda è “entreprise.com”, dominio anche nomi come “ente r prize.com” o “entreprise. fr  ” dovrebbero essere controllati dall’azienda);
  • richiedere agli utenti di utilizzare password diverse con un livello di complessità sufficiente  ;
  • offrire un doppio sistema di autenticazione per l’accesso alla posta elettronica;
  • impostare procedure adattandole, se necessario, alla reale organizzazione del lavoro (crisi sanitaria, trasloco, cambio di dirigente, incidenti vari). Queste procedure devono essere richiamate regolarmente in modo che tutto il personale le abbia familiarità. Allo stesso modo, le regole devono essere scritte in modo che tutti possano adattare o correggere le loro pratiche.

Cosa fare in caso di attacco?

Quando si verifica un attacco, è fondamentale comunicare bene con i vari team, interni o esterni, per gestirne le conseguenze. Alcuni riflessi possono aiutare a limitarli:

  • in caso di sospetto di frode e prima di qualsiasi trasferimento, chiamare la sede della società interessata dalla fattura o dal pagamento / bonifico e non il numero comunicato dall’aggressore;
  • incoraggiare i dipendenti a modificare le proprie password;
  • contattare l’organizzazione finanziaria della società per prevenire e / o annullare transazioni fraudolente .

Dopo un attacco, si consiglia inoltre di applicare tutte le misure necessarie, tra cui:

  • aggiornare i processi di validazione interna al fine di limitare i rischi di un attacco futuro;
  • sensibilizzare i dipendenti ricordando loro regolarmente le regole .

La CNIL è responsabile della protezione dei dati personali. Non può, ad esempio, ottenere danni per l’azienda interessata, tuttavia, è possibile sporgere denuncia alla polizia.

 

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL

Back To Top