fbpx

CEO Fraud

  • In crescita le truffe dei bonifici home banking: Man in The Mail e CEO Fraud

    BEC Fraud: Man in the mail e CEO Fraud

    ManInTheMailStiamo registrando, in ambito aziendale, un incremento delle frodi sui bonifici.
    Tecnicamente sono identificate come Man in The Mail e CEO Fraud, in pratica consistono nel reindirizzare bonifici su conti correnti di soggetti compiacenti che rigireranno la cifra ad altri soggetti facendone perdere le tracce in paesi dalla bassa legalità.

    Nella frode Man in the mail, il malfattore si frappone fra i due interlocutori sostituendosi ad uno di essi ed intrattenendo rapporti email al fine di ottenere che la vittima effettui uno o più bonifici su conti correnti controllati direttamente o indirettamente dal malfattore.
    Per potersi sostituire ad una delle parti, il malfattore o attaccante che si voglia dire, deve conoscere bene la sua vittima: informazioni personali, la conoscenza di un rapporto commerciale o professionale. Queste informazioni possono essere reperite attraverso insiders, un dipendente infedele, ma anche attraverso consultazione di fonti aperte, canali social o aziendali, per rendersi credibile alla sua vittima.
    Tutto questo si realizza spesso attraverso, l’accesso abusivo alle caselle di posta elettronica attraverso cui l’intruso, all’insaputa delle parti, può acquisire informazioni utili al suo piano criminoso, nonché modificare il contenuto della corrispondenza.
    In alcuni casi si assiste addirittura ad un’intrusione illecita nei dispositivi in uso alla vittima, attraverso malware e phishing, per carpire ogni informazione contenuta al suo interno.
    Inseritosi fra i due interlocutori il malfattore riesce sapientemente ad indirizzare bonifici su conti correnti gestiti da lui sulla base del rapporto fiduciario che esiste fra i due reali interlocutori a cui il malfattore si sostituisce.
    La vittima, si accorgerà solo a distanza di tempo della truffa subita in quanto l'altra parte dopo un certo tempo lamenterà il mancato ricevimento delle somme attese e quello, a distanza di giorni, settimane e in alcuni casi di mesi, sarà il momento in ci si prenderà coscienza di quanto accaduto.
    La frode conosciuta come CEO Fraud, può essere ancora più subdola e semplice da porre in atto. Il malfattore si spaccia per il CEO o altra figura apicale dell'azienda per chiedere di disporre un bonifico per una certa ragione a favore di uno specifico conto corrente che naturalmente è da lui presidiato. per condurre questa frode spesso non è necessario introdursi nelle caselle mail o nei sistemi informatici della vittima, è sufficiente sapere le generalità del CEO che si vuole impersonare, magari ricomporre la sua firma email, e, anche scrivendo da un indirizzo email farlocco, impostare come nome mittente quello del CEO. Infatti spesso le persone si limitano a leggere il nome del mittente e non controllano la mail di provenienza, se una mail arriva dal CEO chiaramente è importante, se viene indirizzata alle persone amministrative con buona probabilità, facendosi trarre in inganno dal nome corretto, verrà eseguita.

    Come difendersi da questo tipo di truffe? Innanzitutto è fondamentale adottare comportamenti improntati alla riservatezza per dare la minima visibilità possibile degli affari e del funzionamento dell'azienda, è altresì importante procedere con una certa regolarità al cambio password della mailbox, con password che non siano banali ma che allo stesso tempo non diventino impossibili da ricordare, magri usate una frase di una canzone o di una poesia che vi sono care, sono molto difficili da individuare per un computer, molto facili per voi da ricordare.
    Non salvate nel browser le username e password per accedere alle vostre mailbox, se proprio vi è difficile ricordarle imparate a portare sempre con voi un Moleskin che vi portate dietro dove annotate le user e password più importanti.
    Tutto questo non è normalmente sufficiente, proviamo a mettere giù qualche punto da osservare con regolarità:
    1. Porre attenzione alla mail del mittente, verificando che in nome mittente corrisponda all'indirizzo email conosciuto.
    2. Quando rispondete tenete in copia anche un vostro collega o un responsabile: se voi non vi siete accorti di qualcosa di strano magari si ne accorge lui.
    3. Chiedete che i documenti di richiesta di bonifici vi arrivino come documenti firmati digitalmente e verificare la correttezza della firma digitale, modificare un documento firmato digitalmente è molto più complesso che modificare un normale documento
    4. Usate un altro canale rispetto alla posta, Skype, WhatsApp, telefono, fax etc.. per verificare la richiesta che vi è arrivata per email e la correttezza degli importi e gli IBAN
    5. Ponete attenzione all'istituto su cui state pagando, si sistemi corporate e home banking vi dicono in base all'IBAN i dati dell'istituto che riceverà il bonifico, se non è la solita banca usata come quel fornitore alzate la cornetta e verificate.

    Purtroppo si tratta di una truffa particolarmente efficace perché fa certamente leva su debolezze tecnologiche ma soprattutto sulla fiducia che si assume ci sia fra gli interlocutori della comunicazione, in ogni caso se doveste essere vittime di una frode di questo tipo Man In the Mail o CEO Fraud risulta fondamentale procedere con tempestività ad acquisire in modalità forense, mediante un consulente informatico forense, i dati di accesso da tutte le piattaforme coinvolte in modo che possano essere usate in giudizio. l'adozione di metodologie scientifiche di digital forensics di acquisizione delle prove, la redazione di una perizia informatica che a partire dai dati di accesso spiega come si è sviluppata la frode, permettono di fornire in sede giudiziaria, ma anche nel confronto con la banca, un quadro probatorio fondato su elementi oggettivi e verificabili.

  • Perizia Truffa Bancaria Bonifici dirottati

    Bonifici dirottati, conti correnti svuotati, carte di credito svuotate: vi aiutiamo a recuperare i vostri soldi

    frode bancariaLe truffe online che colpiscono i nostri conti sono ormai la quotidianità, gli attacci con cui riescono a svuotare i nostri conti sono di diversi tipi e con diverse modalità, si va dalla vecchia e classica mail di phishing aggiiornta in sms o messaggio whatsapp a metodi più compelssi e articolati come il sim swap, il furto di identà, il man in the browser, fino al social engineering per prendere il controllo del conto corrento o della carta di credito dirottando addirittura le comunicazioni cartace

    in queste vicende le banche hanno semper una responsabilità importante, noi vi aiutiamo analizzando quanto accaduto per ricostruire come è stato possibile e individuare i rissponsabili

    phishing vishing sms social engineeringSe avete subito una truffa bancaria o o altra truffa online o un un phishing,  non cancellate  i messaggi, le mail o la cronologia del vostro browser ma contattateci subito per cristallizzare tutto quello che è possibile prima che i malfattori ne cancellino le prove. Gli smartphone, i computer, sono i testimoni che siete stati indotti in errore con astuzia, attraverso la loro testimonianza potrete riavere quando indebitamente sottrattovi

    La Perizia informatica su frodi su servizi online, tipicamente conti correnti e carte di credito, permette di accertare e documentare a livello probatorio i fatti e le condotte volte a raggirare la vittima procurando al criminale o ad altri un ingiusto profitto e vi permette di avanzare una  di risarciemnto.

    E però fondamentale procedere con tempestività a cristallizzare le prove informatiche e produrre annessa perizia informatica tutto il materiale su cui è avvenuta la frode

     

    Possono rientrare in un'azione di tutela della per una richiesta di risarcimento la cristallizzazione di 

    P- tabulati telefonici
    - messaggi SMS e/o  WhatsApp
    - e-mail
    - PEC
    - documenti office
    - contabili bancarie alterate
    - log sistemi di pagamento
    - paypal

    In caso di Frode informatica, la perizia é fondamentale per dare valore probatorio a tutti gli elementi che testimoniano la frode.

    La perizia prescinde dall'acquisizione forense delle fonti di prova informatiche come le email, sms, messaggi etc.. con cui la truffa si è sviluppata. 

     

    La Perizia redatta dal consulente tecnico di parte  che sia un consulente informatico forense accreditato,  fornisce al giudice una rappresentazione veritiera dei fatti tecnici derivanti dalle indagini e analisi tecniche condotte e sostanzia una procedura di risarcimento. 

    contattci      preventivio
  • Violazioni informatiche causate dai dipendenti

    Sicurezza informatica: quando manca l'awarness

    La criminalità informatica continua a minacciare le aziende con attacchi più frequenti e sofisticati. È stato riportato che una piccola e media impresa subisce un attaco hacker in UK  ogni 19 secondi e che ci sono più di 60.000 tentativi di hacking al giorno .  Sebbene le soluzini tecnologice   di sicurezza svolgano un ruolo importante, la vigilanza dei tuoi dipendenti rimane la  migliore linea di difesa.

    Sfortunatamente, i dipendenti commettono una serie di errori che possono portare a violazioni dei dati. Dalla mancata installazione degli aggiornamenti di sicurezza del software all'utilizzo di password deboli e alla caduta di e-mail truffa, l'errore umano può avere conseguenze devastanti sulla protezione dei dati e sulla sicurezza del sistema. Secondo uno studio di Cybint, l'errore umano è la principale causa del 95% delle violazioni della sicurezza informatica. 

    Una polizza sul cyber rischio può fornire protezione in caso di violazione dei dati. Tuttavia, non c'è soluzione migliore di avere personale  ben formato e preparato sui rischi della sicurezza informatica.

    Ecco alcuni degli errori umani più frequenti e non intenzionali che portano a violazioni dei dati:

    • Truffe e frodi via Email
    • Invio di dati ad destinatari errati via e-mail
    • Pubblicazione di dati riservati
    • Sicurezza della password
    • Aggiornamenti di sicurezza
    • Truffe di phishing

    Truffe e frodi via Mail

    L'aumento del lavoro a distanza ha rappresentato un'opportunità speciale per i criminali informatici. Quando si lavora in un ambiente d'ufficio, potremmo aver espresso il nostro sospetto di un'e-mail ai colleghi circostanti, creando una discussione e la condivisione delle conoscenze. Lavorare da soli significa che ci affidiamo alle nostre conoscenze e al nostro giudizio in quel momento e può comportare la cadere in una email truffaldina, mettendo a rischio l'azienda.

    Invio di dati ad destinatari errati via e-mail: data breach

    L'invio di un'e-mail al destinatario sbagliato è una minaccia comune alla sicurezza dei dati spesso ignorata. Chi non utilizza le funzioni di suggerimento automatico durante l'invio di e-mail? È facile inviare accidentalmente informazioni riservate alla persona sbagliata o, peggio ancora, a gruppi di persone.

    Nel 2020, l'azienda UK Sonos ha accidentalmente esposto gli indirizzi e-mail di centinaia di clienti. In totale, 450 indirizzi e-mail sono stati inavvertitamente esposti quando sono stati copiati (CC), piuttosto che copiati alla cieca (BCC), in un'e-mail. 

    Questo è un tipico esempio di errore basato sull'abilità. Il dipendente aveva familiarità con il processo corretto ma mancava di cura e attenzione durante l'esecuzione del compito.

    Data breach

    Nell'agosto 2020, quasi 400 persone a Powys sono state colpite da una violazione dei dati dopo aver contratto il COVID-19. Public Health Wales ha ammesso l'errore, spiegando che i dati erano stati caricati accidentalmente su un server pubblico.

    Tuttavia, i dati di oltre 18.000 persone erano disponibili per la visualizzazione online per 20 ore prima di essere rimossi a causa di questo errore. I dati erano stati visualizzati 56 volte, ma non c'erano prove di uso improprio. 

    Sicurezza della password

    Secondo il rapporto del 2019 del National Center for Cyber ​​Security, 123456 è la password più popolare a livello globale e il 45% delle persone riutilizza la password del proprio account di posta elettronica principale su altri servizi. 

    Oltre a non creare password complesse e univoche, le persone sono colpevoli di mantenere le password sui post-it in vista aperta o di condividerle con i colleghi. Questo è un altro chiaro esempio di dipendenti che dimostrano una mancanza di consapevolezza della sicurezza.

    Aggiornamenti di sicurezza

    Il software non aggiornato è un  boccone ghiotto per gli hacker. I dipendenti che ignorano gli aggiornamenti software, disabilitano le funzionalità di sicurezza o scaricano software non autorizzato rendono più facile l'hacking per i criminali informatici.

    Quando vengono scoperte lacune nel software di sicurezza, I produttori di quesl Software risolvono la vulnerabilità e inviano aggiornamenti a tutti gli utenti prima che i criminali informatici possano compromettere più dispositivi. Questo è il motivo per cui gli utenti devono installare gli aggiornamenti di sicurezza sui propri computer non appena sono disponibili.

    Truffe di phishing

    Un'e-mail di phishing si basa sull'inganno della vittima per rubare informazioni riservate. Le vittime di phishing vengono indotte a interagire con le e-mail perché credono che l'e-mail sia genuina. I criminali informatici in genere utilizzano le e-mail di phishing per chiedere:

    • data di nascita
    • numeri di telefono
    • dettagli della carta di credito
    • indirizzo di casa
    • informazioni sulla password.

    Queste informazioni vengono poi utilizzate per svolgere attività fraudolente. In alternativa, un'e-mail di phishing potrebbe contenere un collegamento che, se cliccato, rilascia malware nel sistema. I criminali potrebbero richiedere un riscatto per riportare i tuoi sistemi alla normalità.

    Si stima che i britannici siano stati truffati per 3,5 milioni di sterline nei primi due mesi di blocco, con i criminali informatici che hanno incassato l'incertezza causata dalla pandemia.  A maggio 2020, l'agenzia per la criminalità informatica del Regno Unito aveva scoperto 7.796 e-mail di phishing collegate al COVID-19. 7

    Adotta alcuni di questi semplici approcci per prevenire la violazione dei dati:

    • Aumentare la consapevolezza
      Aumentare la formazione e la consapevolezza su come rilevare una truffa tramite e-mail di phishing. Organizza sessioni di formazione per i tuoi dipendenti con scenari fittizi per aiutarli a identificare le e-mail di phishing.
    • Installa il software antivirus
      Assicurati che il software antivirus sia aggiornato su tutte le tue apparecchiature aziendali.
    • Crea un piano di ripristino
      Aiuta a ridurre al minimo i danni causati da una violazione informatica. Il tuo piano dovrebbe comprendere come recuperare rapidamente i dati, assicurando che la tua attività continui a funzionare nel modo più fluido possibile.
    • Stipula un'assicurazione di responsabilità informatica
    • L'assicurazione informatica è ormai diventata una copertura essenziale per le piccole imprese. Parlaci del livello di assicurazione richiesto dalla tua attività.
Studio Fiorenzi P.IVA 06170660481 - Perizie Informatiche Forensi e Consulenze Tecniche a valore Legale e Giudiziario in Tribunale

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.