Settimana 11: Tentativi di truffa con dati provenienti dai social media

21.03.2023 - Prima di lanciare un tentativo di truffa del CEO, i malintenzionati raccolgono dati da fonti pubbliche. A tal fine spesso sfruttano siti aziendali che pubblicano i nomi dei collaboratori e la loro funzione. Per questo tentativo di truffa è tuttavia possibile utilizzare anche i dati dei social media, come mostra un caso segnalato all’NCSC la scorsa settimana avente nel mirino il servizio del personale di un’azienda.

In una truffa del CEO, gli aggressori mettono sotto pressione i responsabili delle finanze di un’azienda fingendo di esserne il capo e inducendo le vittime a eseguire un pagamento apparentemente urgente. Una caratteristica tipica di questa truffa è che non è possibile raggiungere telefonicamente il CEO per eventuali chiarimenti perché si trova in una riunione urgente o non ha modo di rispondere alla chiamata. I truffatori, innanzitutto, raccolgono le informazioni necessarie attraverso fonti pubbliche. Spesso molte aziende indicano sul proprio sito dati come il nome o l’indirizzo e-mail del capo o del responsabile delle finanze. Purtroppo questa positiva vicinanza alla clientela viene utilizzata in maniera impropria dagli aggressori per una truffa del CEO.

Da qualche tempo, oltre alla variante classica descritta più sopra vengono osservate delle sottovarianti, una delle quali prende di mira i responsabili del personale (variante RU). Anche in questo caso i truffatori sfruttano in parte i dati del sito aziendale. Tuttavia, per la variante in questione i dati dei social media rivestono un’importanza sempre maggiore, come mostra una segnalazione prevenuta all’NCSC la scorsa settimana.

Le RU nel mirino dei truffatori

In questa variante della truffa, il servizio del personale viene invitato per e-mail da un sedicente collaboratore a effettuare il prossimo pagamento dello stipendio su un altro conto. Questa truffa esige che gli aggressori siano a conoscenza sia del nome e dell’indirizzo e-mail del responsabile del personale che del nome di un collaboratore. Nel presente caso queste informazioni non erano pubblicate sul sito aziendale, per cui in un primo momento si è sospettato che i malintenzionati potessero aver ottenuto i dati tramite un tentativo di hacking contro l’azienda o un suo dipendente. Da una ricerca più approfondita, tuttavia, è emerso che prima di sferrare l’attacco i truffatori avevano raccolto i dati sui social media. Piattaforme come Xing o LinkedIn hanno lo scopo di stringere contatti professionali e il titolo professionale costituisce un elemento essenziale. Anche il nome e la funzione del responsabile del personale dell’azienda in questione sono visibili su Xing.

Nome del responsabile del personale dell’azienda visibile su Xing
Nome del responsabile del personale dell’azienda visibile su Xing

Su Xing figurano anche altri collaboratori dell’azienda con nome, cognome, denominazione della funzione e link diretto. Gli aggressori si concentrano sui collaboratori con gli stipendi più elevati.

Dati dei collaboratori di un’azienda pubblicati sui social, compresa la denominazione della funzione
Dati dei collaboratori di un’azienda pubblicati sui social, compresa la denominazione della funzioneh

Su un altro social media è indicato anche l’indirizzo e-mail del servizio del personale. Tuttavia questo indirizzo deve essere pubblico poiché, di solito, è il punto d’accesso per eventuali candidature.

Gli indirizzi per contattare i servizi del personale sono spesso pubblici poiché il punto d’accesso per eventuali candidature.
Gli indirizzi per contattare i servizi del personale sono spesso pubblici poiché il punto d’accesso per eventuali candidature.

In seguito i truffatori sfruttano queste informazioni per convincere via e-mail il servizio del personale a versare lo stipendio su un altro conto. Fortunatamente, di regola, gli aggressori hanno a disposizione un unico tentativo per portare a termine questo genere di truffa, poiché i collaboratori si accorgono in fretta di non aver ricevuto lo stipendio a fine mese (momento in cui, al più tardi, viene notata la truffa). Il ricavato ottenuto con questa variante è quindi piuttosto basso.

Vietare l’utilizzo dei social media?

In un’epoca in cui i social media rivestono un ruolo sempre più importante non è certo la soluzione giusta vietare ai collaboratori di utilizzare questi canali. Ciò nonostante ogni azienda dovrebbe definire proprie direttive che stabiliscono quali informazioni possono essere divulgate dai collaboratori sui social media.

Certo è che la disponibilità di simili informazioni provoca anche un aumento delle varianti di truffa. Pertanto, è particolarmente importante sensibilizzare al riguardo sia tutti i collaboratori autorizzati a effettuare pagamenti in seno a un’azienda sia i servizi del personale. Eventuali modifiche del conto su cui viene versato lo stipendio devono poter essere effettuate soltanto attraverso canali verificabili oppure dopo aver consultato personalmente i collaboratori.

Raccomandazioni:

  • Sensibilizzate tutti i collaboratori sulla truffa del CEO! Informate in particolare i collaboratori delle divisioni finanziarie, dei servizi del personale e quelli che occupano posizioni chiave. Nelle associazioni devono essere istruiti tutti i membri che svolgono la funzione di presidente o tesoriere.
  • Stabilite un processo per adeguare i dati bancari anche d’urgenza. In genere occorrerebbe chiedere conferma attraverso un secondo canale (ad es. per telefono).
  • Definite direttive che stabiliscono quali informazioni relative all’azienda possono essere divulgate dai collaboratori.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 21.03.2023

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2023/wochenrueckblick_11.html