Il Centro Operativo per la Sicurezza Cibernetica di Bari ha nei giorni scorsi risolto un caso di B.E.C. (Business Email Compromise) denunciato da una impresa locale, commesso da persone al momento rimaste ignote. Le indagini sono in corso per identificare gli autori.
Un’impresa aveva ricevuto per email una fattura da un fornitore estero, di importo pari a 120.000 euro, che provvedeva a pagare con bonifico; alcuni giorni dopo, tuttavia, apprendeva dal fornitore stesso che il bonifico non era mai pervenuto e, dalle verifiche effettuate, constatava che l’IBAN della fattura era stato modificato con coordinate riferibili ad una banca situata a Bangkok (Tailandia).
La denuncia tempestiva e l’immediato intervento della Polizia Postale che ha attivato i canali di cooperazione internazionale dell’INTERPOL, hanno consentito il richiamo del bonifico e l’intero rientro dell’importo pagato dalla vittima.
Il B.E.C., anche noto come Man-in-the-Middle o C.E.O. fraud, è una forma di frode informatica perpetrata mediante l’accesso abusivo alla casella di posta elettronica, solitamente di imprese, che consente all’organizzazione criminale di monitorare il flusso di corrispondenza per porre in essere truffe di grande impatto economico. Tali frodi vengono attuate in due modalità diverse:
– mediante l’interposizione nella corrispondenza tra impresa vittima e controparte commerciale (da cui il nome Man-in-the-Middle), con l’indicazione di un IBAN diverso dove effettuare i pagamenti, che vengono quindi indirizzati su conti correnti controllati dall’organizzazione criminale;
– attraverso la creazione di corrispondenza interna apparentemente originata dal C.E.O. (amministratore delegato) o dal C.F.O. (direttore finanziario), che ordina al dipendente preposto di effettuare un pagamento verso un IBAN che ovviamente sarà nella disponibilità dell’organizzazione criminale.
Il B.E.C. è un fenomeno ampiamente diffuso e di alto impatto economico per le vittime, che inevitabilmente si ripercuote sull’ordinario svolgimento delle attività commerciali.
La Polizia di Stato raccomanda di attuare ogni misura necessaria a tutelare il perimetro di sicurezza informatica delle imprese, per scongiurare accessi abusivi a banche dati e alla casella di posta elettronica, nonché a verificare gli IBAN sospetti prima di procedere ad un pagamento, anche contattando la controparte commerciale attraverso canali differenti.
In caso di patita frode informatica, si raccomanda di denunciare l’accaduto nel più breve tempo possibile alla Polizia Postale e per la Sicurezza Cibernetica, considerando che il richiamo del bonifico è possibile solo entro i giorni di valuta che intercorrono tra la data dell’operazione e la data di disponibilità dell’importo sul conto corrente destinatario.