Telefonate fraudolente alle imprese di nuovo in aumento

05.07.2018 - Negli ultimi giorni sono di nuovo in aumento le telefonate verso aziende, in cui i criminali si fanno passare per collaboratori di una banca. I truffatori incitano la ditta ad effettuare un pagamento oppure sostengono di dover svolgere un update dell'e-banking e, in seguito a ciò, condurre una sessione di prova.

I criminali tentano tipicamente di convincere i collaboratori della ditta ad installare un programma d'accesso a distanza (ad esempio NTR-Cloud o Teamviewer). Quindi si collegano con il dispositivo della vittima e simulano l'installazione di un update del sistema e-banking. Infine i truffatori fingono che la corretta installazione dell'update debba venir verificata attraverso un test e convincono la vittima ad inserire nel sistema i dati d'accesso della ditta. Nel caso in cui l'impresa abbia previsto una procedura di firma collettiva, i criminali richiederanno, senza esitazioni, la presenza di altri collaboratori, così da poter attivare il pagamento.

In un'alta variante, alla vittima viene raccomandato di non effettuare sessioni di e-banking per alcuni giorni, a causa di un necessario aggiornamento della piattaforma. I truffatori si premurano poi di comunicare un numero al quale rivolgersi nel caso in cui si debba effettuare una transazione urgente. Se la vittima si mette effettivamente in contatto con il finto collaboratore della presunta banca, per registrare un pagamento, le verranno richiesti sia il nome utente e la password sia la one-time password. In questo modo i criminali avranno accesso alla piattaforma e-banking. Il procedimento può essere ripetuto varie volte, fintanto che la vittima non diventa sospettosa.

Questi casi dimostrano quanto i metodi di social engineering siano tuttora attuali (vedi anche il Bollettino d’informazione MELANI del 20.01.2017 Social Engineering: un nuovo metodo d’attacco orientato contro le imprese). La sensibilizzazione all'interno delle singole aziende è l'elemento chiave per prevenire simili tentativi di truffa.

Consigli:

  • Controllate le informazioni sull’azienda disponibili online. Non divulgate in nessun caso sulla pagina web della ditta gli indirizzi e-mail della direzione o di altri collaboratori. Utilizzate indirizzi e-mail generici.
  • Qualora veniate contattati e confrontati con richieste inconsuete, siate diffidenti e valutate con senso critico il committente. Nel caso di prese di contatto e richieste sospette è consigliabile richiedere un consulto interno alla ditta per verificare la correttezza dell'ordine.
  • Sensibilizzate i vostri collaboratori, in particolare quelli in posizioni chiave (ad esempio nel settore che si occupa delle finanze) riguardo questo genere d'attacco.
  • Non rivelate mai per telefono, mail o in internet i dati d'accesso personali, a persone terze. Un istituto finanziario non richiede mai di comunicare dati personali confidenziali tramite una conversazione telefonica, un'e-mail o per SMS.
  • Non installate in nessun caso programmi e non seguite alcun link se venite esortati telefonicamente o per iscritto. Non permettete a nessuno sconosciuto di avere accesso al vostro computer. Nessuna banca vi esorterà a collaborare ai test di un qualsivoglia aggiornamento di sicurezza.
  • Tutti i processi riguardanti il traffico dei pagamenti devono essere chiaramente disciplinati all'interno dell'azienda e in ogni caso devono essere sempre rispettati dai collaboratori.
https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/news/news-archiv/truffe-via-e-mail-e-telefono-in-aumento.html