Il peggior tipo di truffa di phishing è quello che non si può semplicemente ignorare: come la frode CEO. Le e-mail che si suppone provengano dal governo, che vi dicono di effettuare quel pagamento in sospeso relativo alle tasse o di rischiare un'azione legale. Email che sembrano inviate dalla vostra scuola o università, che vi chiedono di pagare quella retta che non avete pagato. O anche un messaggio del vostro capo o amministratore delegato che vi dice di trasferirgli del denaro "come favore".
Che cos'è la frode dell'amministratore delegato?
L'attacco di frode CEO è una truffa di phishing via e-mail in cui i truffatori si spacciano per l'amministratore delegato di un'azienda nel tentativo di convincere i dipendenti a inviare denaro a loro. Le e-mail di solito includono il vero nome e il titolo professionale dell'amministratore delegato dell'azienda.
Il problema con e-mail come questa è che stanno impersonando una figura di autorità, che sia il governo, il tuo consiglio universitario o il tuo capo al lavoro. Queste sono persone importanti, e ignorare i loro messaggi avrà quasi certamente gravi conseguenze. Quindi sei costretto a guardarle, e se sembra abbastanza convincente, potresti anche cascarci.
Non sei immune alle frodi dei CEO
Una truffa da 2,3 miliardi di dollari ogni anno, ecco cos'è. Vi starete chiedendo: "Cosa potrebbe mai far perdere alle aziende così tanti soldi per una semplice truffa via e-mail?" Ma saresti sorpreso di quanto possano essere convincenti le email di frode dei CEO.
Nel 2016, Mattel ha quasi perso 3 milioni di dollari a causa di un attacco di phishing quando un dirigente finanziario ha ricevuto una e-mail dal CEO, che la istruiva a inviare un pagamento a uno dei loro fornitori in Cina. Ma è stato solo dopo aver controllato più tardi con il CEO che si è resa conto che non aveva mai inviato l'e-mail. Per fortuna, l'azienda ha lavorato con le forze dell'ordine in Cina e negli Stati Uniti per riavere i loro soldi pochi giorni dopo, ma questo non succede quasi mai con questi attacchi.
La gente tende a credere che queste truffe non accadranno a loro... finché non accadono a loro. E questo è il loro più grande errore: non prepararsi alla frode del CEO.
Le truffe di phishing non solo possono costare alla vostra organizzazione milioni di dollari, ma possono avere un impatto duraturo sulla reputazione e la credibilità del vostro marchio. Si corre il rischio di essere visti come l'azienda che ha perso soldi a causa di una truffa via e-mail e di perdere la fiducia dei vostri clienti di cui conservate le informazioni personali sensibili.
Invece di rimuginare sul controllo dei danni dopo il fatto, ha molto più senso proteggere i vostri canali e-mail contro le truffe di spear phishing come questa. Ecco alcuni dei modi migliori per garantire che la vostra organizzazione non diventi una statistica nel rapporto dell'FBI sul BEC.
Come prevenire le frodi degli amministratori delegati: 6 semplici passi
- Educare il personale alla sicurezza
Questo punto è assolutamente fondamentale. I membri della vostra forza lavoro, in particolare quelli del settore finanziario, devono capire come funziona la Business Email Compromise. E non si tratta solo di una noiosa presentazione di due ore su come non scrivere la password su un post-it. È necessario istruirli su come individuare i segnali sospetti che indicano che un'e-mail è falsa, fare attenzione agli indirizzi e-mail contraffatti e alle richieste anomale che altri membri del personale sembrano fare tramite e-mail. - Attenzione ai segni rivelatori dello spoofing
I truffatori via e-mail utilizzano ogni tipo di tattica per indurvi a soddisfare le loro richieste. Queste possono spaziare da richieste/istruzioni urgenti di trasferimento di denaro per indurvi ad agire rapidamente e senza riflettere, fino alla richiesta di accesso a informazioni riservate per un "progetto segreto" che i piani alti non sono ancora pronti a condividere con voi. Si tratta di gravi segnali di allarme e dovete controllare due e tre volte prima di intraprendere qualsiasi azione. - Proteggetevi con DMARC
Il modo più semplice per prevenire una truffa di phishing è quello di non ricevere mai l'e-mail. Il DMARC è un protocollo di autenticazione delle e-mail che verifica le e-mail provenienti dal vostro dominio prima di consegnarle. Se applicate il DMARC sul vostro dominio, qualsiasi aggressore che si spacci per qualcuno della vostra organizzazione verrà rilevato come mittente non autorizzato e le sue e-mail verranno bloccate dalla vostra casella di posta. Non dovrete più avere a che fare con le e-mail contraffatte.
Scoprite cos'è il DMARC.
- Ottenere l'approvazione esplicita per i trasferimenti di denaro
Questo è uno dei modi più semplici e diretti per evitare trasferimenti di denaro alle persone sbagliate. Prima di impegnarsi in qualsiasi transazione, rendete obbligatoria l'approvazione esplicita della persona che richiede il denaro usando un altro canale oltre all'email. Per i bonifici più grandi, rendete obbligatorio ricevere una conferma verbale. - Segnalare le e-mail con estensioni simili
L'FBI raccomanda che la vostra organizzazione crei regole di sistema che segnalino automaticamente le e-mail che usano estensioni troppo simili alle vostre. Per esempio, se la tua azienda usa '123-business.com', il sistema potrebbe rilevare e segnalare le email che usano estensioni come '123_business.com'. - Acquistare nomi di dominio simili
Gli aggressori utilizzano spesso nomi di dominio simili per inviare e-mail di phishing. Ad esempio, se la vostra organizzazione ha una "i" minuscola nel suo nome, potrebbero utilizzare una "I" maiuscola o sostituire la lettera "E" con il numero "3". In questo modo si ridurranno le possibilità che qualcuno utilizzi un nome di dominio estremamente simile per inviarvi e-mail.
- Il DMARC diventa obbligatorio per il settore delle carte di pagamento a partire dal 2025 - 12 gennaio 2025
- Modifiche al controllo della posta dell'NCSC e loro impatto sulla sicurezza delle e-mail del settore pubblico del Regno Unito - 11 gennaio 2025
- Guida alla spiegazione dei tag DMARC aspf - 7 gennaio 2025