Ha effettuato un bonifico da 937.670 euro e poi, temendo di essere stato truffato, si è rivolto alla polizia.
La vittima non è una persona qualunque. La sfortunata vicenda è successa a Jaime Ondarza, 55 anni, Ceo di Fremantle, leader mondiale nell’ideazione, produzione e distribuzione di programmi d’intrattenimento e serie televisive, con base in Olanda che negli ultimi anni ha sfornato programmi di grande successo, come X Factor ed Italia’s Got Talent con uffici nel nostro Paese a Milano, Napoli e Roma. Ondarza è Ceo dell’azienda per l’Europa meridionale.
Il manager ha denunciato subito l’episodio: l’uomo ha raccontato agli agenti di aver ricevuto un messaggio whatsapp e subito dopo di aver avuto una telefonata di un presunto avvocato che gli aveva fornito le coordinate bancarie, da un account apparentemente riconducibile all’azienda, che lo invitava ad effettuare un maxi bonifico a un’altra società per l’acquisizione di una controllata in Asia.
Il manager a quel punto ha effettuato l’operazione e disposto il bonifico. Subito dopo, però, si è insospettito e nel cuore della notte ha contattato la polizia. La denuncia è stata presentata al commissariato Lido di Roma che adesso sta cercando di arrivare alla banda che ha sottratto la somma all’amministratore delegato anche se recuperare tutti quei soldi sarà pressoché impossibile. O comunque molto complicato. Quasi un milione di euro finito in pochi istanti su un conto corrente di una banca asiatica e successivamente ‘spacchettato’ su altre decine di iban sparsi per l’Estremo Oriente o in tutto il mondo.
Un raggiro tutt’altro che raro negli ultimi tempi, conosciuto con il nome di ‘Ceo Fraud’, proprio perché prende di mira soggetti al vertice di importanti aziende.
Come funziona la truffa del CEO
La truffa avviene tramite una presunta richiesta di pagamento urgente da parte del capo di un’impresa o del presidente di un’associazione che, solitamente, non è raggiungibile telefonicamente per eventuali chiarimenti.
I truffatori raccolgono innanzitutto informazioni su un’azienda, un’autorità o un’associazione attraverso diverse fonti pubbliche. Sulla base di queste informazioni viene poi elaborato uno scenario che consente di portare avanti un attacco su misura. La truffa vera e propria avviene di frequente con un’e-mail del falso CEO indirizzata al servizio finanziario, oppure sotto forma di messaggio del finto presidente dell’associazione al tesoriere. Mediante l’espediente di una storia plausibile, la persona contattata viene spinta a effettuare pagamenti presumibilmente urgenti.
Come difendersi
- Sensibilizzate tutti i collaboratori in merito alle truffe del CEO. Occorre informare in particolare i collaboratori delle divisioni finanziarie e il personale che occupa posizioni chiave. Nelle associazioni devono essere istruiti tutti i membri con funzione di presidente o tesoriere.
- Non divulgate informazioni interne e prestate molta attenzione quando ricevete inviti di pagamento. Non date seguito a questi ultimi qualora presentino caratteristiche insolite.
- In caso di inviti di pagamento inconsueti, verificate la correttezza dell’ordine chiedendo chiarimenti telefonici in azienda o presso il presidente dell’associazione.
- Tutti i processi che riguardano il traffico dei pagamenti dovrebbero essere disciplinati in modo chiaro all’interno dell’azienda o dell’autorità e sempre rispettati da tutto il personale (per es. principio del doppio controllo, firma collettiva a due).
Non solo Ceo Fraud: anche il pericolo dello spoofing
Lo spoofing è un tipo di impersonificazione tecnologica che cerca di ingannare una rete o un essere umano per fargli credere che la fonte di determinate informazioni sia attendibile, quando invece non lo è. Gli hacker, ad esempio, possono utilizzare questa tecnica per inviarti mail che appaiono come provenienti da qualcuno di fidato, in modo da spingerti a fornire dati sensibili. Oppure, possono provare a sfruttare lo spoofing dell’IP e del DNS per spingere la tua rete a dirottarti su siti fraudolenti che infetteranno il tuo computer.
Lo spoofing delle mail è il più semplice da riconoscere, in quanto attacca direttamente gli utenti. Qualsiasi mail insolita che richieda informazioni sensibili potrebbe nascondere un tentativo di spoofing, specialmente se richiede l’inserimento di nome utente e password. Ricorda, i siti legittimi non richiedono mai questi dati. Puoi anche verificare l’indirizzo mail per assicurarti che provenga da un account legittimo. Tuttavia, potresti non sapere mai di essere vittima dello spoofing dell’IP o del DNS, anche se tenere sott’occhio piccoli cambiamenti o comportamenti insoliti dovrebbe fornirti qualche sospetto. Se hai dei dubbi, è meglio giocare d’anticipo, per evitare gravi problemi.
Dato che lo spoofing rappresenta un tipo di impersonificazione, non c’è nulla da rimuovere. Per proteggerti, basta usare il buon senso e la discrezione al momento di navigare in rete o di rispondere alle mail, anche quando pensi che siano fidate. Come prevenire lo spoofing?
- Non rispondere a mail che richiedono i dati del tuo account o le informazioni di login
- Fai sempre una verifica dell’indirizzo del mittente di qualsiasi mail sospetta
- Tieni d’occhio tutti i tuoi siti web fidati, per notare aspetti o comportamenti insoliti