Come ti frego l’azienda via email

Hacker’s Dictionary. Si chiamano Business email compromise (Bec) e fanno più danni delle altalene della Borsa. Al pari delle truffe romantiche sfruttano la fiducia ingenua che abbiamo per gli altri

di ARTURO DI CORINTO per Il Manifesto del 29 Agosto 2019

Avete mai ricevuto una email con richiesta di bonifico immediato per un prodotto ordinato in rete, un affare da completare o per aiutare un amico rimasto senza soldi in Tanzania? Probabilmente sì e se non gli avete dato seguito avete fatto bene.

In genere queste richieste sono fasulle e rappresentano un tipo di truffa online che gli esperti chiamano Business Email Compromise (Bec) perché usano account email rubati ai legittimi proprietari.

Mentre in molti casi le truffe romantiche cominciano sul Messenger di Facebook, nelle truffe Bec i truffatori si presentano come il datore di lavoro, un collega, un amico, e chiedono alla vittima di inviare denaro tramite bonifico bancario. In altri casi imitando l’identità del possessore della mailbox compromessa per frodare l’azienda o i suoi dipendenti, clienti e partner. In molti casi, gli «scammer», i truffatori, concentrano i loro sforzi sui contabili o gli impiegati delle risorse umane.

Spesso al destinatario viene chiesto di cliccare su un link, ma in molti altri il criminale cerca di stabilire un rapporto con la vittima avviando una conversazione e chiedendole se è disponibile per un affare urgente o se è pronta ad accettare un incarico professionale.

Nella stragrande maggioranza dei casi, dopo la prima email di risposta il criminale chiede di effettuare un pagamento.

Questo tipo di truffa implica uno schema fraudolento piuttosto complesso e pare costi molti milioni di dollari alle imprese truffate.

Voi direte: ma chi ci casca? Parecchi. La settimana scorsa è successo al Provveditorato per la scuola di Portland i cui impiegati avevano accettato di pagare quasi 3 milioni di dollari per lavori edili finché la direttrice non ne aveva bloccato il bonifico.

Pochi giorni fa il Dipartimento di Giustizia degli Stati Uniti ha denunciato 80 persone per il loro coinvolgimento in truffe via e-mail che hanno frodato le loro vittime per almeno $ 6 milioni e hanno tentato di rubarne altri $ 40.

L’accusa delinea una complessa rete di riciclaggio di denaro, furto di identità e frodi online di tipo Bec e «romantic scam». La maggior parte degli imputati vive in Nigeria, anche se altri, tra cui 14 persone arrestate, si trovavano negli Stati Uniti. La documentazione legale a supporto delle accuse mostra una discreta creatività.

È stato il caso di una società texana indotta a inviare $ 186.686 a un conto fasullo. La società aveva ordinato alcune attrezzature per l’estrazione di petrolio. Ricevute le coordinate bancarie per il pagamento alcune ore dopo, la società riceveva una nuova comunicazione, indicando che i precedenti dettagli bancari erano errati e fornendo un nuovo conto di destinazione controllato dai truffatori poi arrestati.

Una donna californiana di 61 anni di Monterey Park, è stata invece vittima di una truffa romantica su Facebook da parte di Dennis Hunt, innamorandosene e prestandogli soldi per un progetto imprenditoriale. «Dennis» però non esisteva. La donna ha inviato $ 200.000 ai truffatori ed è stata convinta ad andare a Los Angeles per sbloccare il bonifico che credeva sottratto da un direttore di banca russo.

In un’inchiesta di Barracuda Networks dello scorso anno si calcola che il 60% degli attacchi Bec non contiene link. Difficili da intercettare perché non contengono link sospetti, le email vengono inviate da account legittimi e sono confezionate su misura per ciascun destinatario.

Il Dipartimento del Tesoro degli Stati Uniti a luglio ha riferito che le truffe Bec sono costate alle aziende una media di 300 milioni di dollari al mese.