Attacco phishing da 4000 Euro

Attacco phishing da 4000 Euro è la storia di un evento realmente accaduto a un mio conoscente che con un email di phishing ben confezionata ha perso 4000 euro.

spear phishing in azione

Succede raramente di vedere in funzione un attacco di spear phishing diretto a una persona specifica ma quando va in porto i rischi sono alti, come è successo a questo mio conoscente.

Abbiamo visto in passato – link in fondo alla pagina – che lo spear phishing è una forma più subdola di phishing mirato a una persona o azienda dove vengono usate anche tecniche di ingegneria sociale, cioè informazioni di cui il phisher è a conoscenza.

Ecco cosa è successo.

A chi si occupa dell’amministrazione di questa azienda e ha rapporti con banche, fa i pagamenti ecc. ecc. è arrivata questa email

NOTA: i nomi sono stati sostituiti e al posto del dominio reale è stato inserito dominio.it

Da: Mario Rossi <president@dominio.it>
Rispondi-A: Mario Rossi <presidente@italymail.com>
Oggetto: Re: compito urgente
A: email.destinatario@dominio.net

Di seguito troverai le informazioni necessarie per effettuare il
trasferimento di euro 4,000.00.

Somma: EUR 4,000.00

Banca: POSTBANK

Indirizzo: Billrothstraßes 79. 22767 Hamburg.

Beneficiario: JOSEPH NWALIOBA

IBAN: DE87100100100372801123

BIC/swift:PBNKDEFF

Causale: Per i servizi informatici e attrezzature per ufficio

Tipo di pagamento: Bonifico Urgente

Ti prego di inviare una copia di conferma al
(presidente@italymail.com) al momento del trasferimento

Mario Rossi

In sostanza Mario Rossi, presidente dell’azienda, manda un’email alla persona che si occupa dell’amministrazione (email.destinatario@dominio.net) chiedendo di fare un bonifico urgente di 4000 euro e indicando tutti i dati e la causale.

E fin qui nulla di male.

Se non che quell’email non è mai stata scritta dal verso Presidente e la persona ha fatto un bonifico di 4000 euro a qualcuno con un conto corrente in Germania che non ha nulla a che fare con quell’azienda.

Leggi anche  La tua carta è stata disabilitata (ma in realtà non è vero)

Analisi dello spear phishing

Vediamo in dettaglio cosa è successo.

Abbiamo detto che l’email non è mai stata mandata dal Presidente dell’azienda Mario Rossi e in effetti si vede chiaramente qui

Da: Mario Rossi <president@dominio.it>
Rispondi-A: Mario Rossi <presidente@italymail.com>

Il Rispondi a: si utilizza di solito quando si scrive da una casella generica – vendite@dominio.it per esempio – e si desidera che la risposta vada a un’altra casella email.

In questo caso l’email è stata spedita da qualcuno che ha falsificato l’email del Presidente (Mario Rossi – president@dominio.it) e ha messo un’email fasulla e simile – presidente@italymail.com – come indirizzo di risposta.

In questo modo se il destinatario avesse risposto chiedendo delucidazioni, la sua risposta non sarebbe arrivata al vero Presidente ma a quello fasullo all’altro indirizzo che sicuramente avrebbe confermato il tutto.

Il Rispondi A in genere non si vede a meno che tu non clicchi su Rispondi nel tuo client di posta e quindi il destinatario non lo ha neanche visto.

Questa è la prima cosa strana.

L’italiano è corretto e le istruzioni anche se non che quell’azienda non ha nulla a che fare con la Germania – lavora solo in Italia – e men che meno con persone che lì abitano.

Qui entra in gioco anche la causale di “Per i servizi informatici e attrezzature per ufficio” a una persona che sta in Germania quando la sede dell’azienda è solo in Italia.

Se vogliamo continuare con i segnali di pericolo, vedo anche che la cifra da bonificare non è scritta all’italiana ma all’americana o inglese che sia.

Noi infatti scriviamo 4.000,00 – con il punto per dividere le migliaia e la virgola per i decimali – mentre all’estero scrivono 4,000.00 con la virgola a dividere le migliaia e il punto per i decimali.

Leggi anche  Phishing American Express

Devo però ammettere che questo tentativo di spear phishing è fatto molto bene e sicuramente è stato fatto da qualcuno che era a conoscenza dei processi interni dell’azienda e delle persone che le eseguivano, altrimenti non avrebbe potuto colpire in modo così sicuro.

Non mi sento di dare la colpa più di tanto alla persona che ha materialmente fatto il bonifico perché, in effetti, scoprirlo non era facile se non ci si fa precisa attenzione e soprattutto se non ci sono delle procedure aziendali per questo tipo di attività.

Nota che anche la somma richiesta non è elevata in assoluto. Fosse stata di 20.000 euro forse qualcuno avrebbe fatto qualche domanda, ma con 4000 euro la cosa è passata sotto traccia.

Il tutto è stato scoperto per puro caso da una persona dell’amministrazione che si è fatta qualche domanda e, approfondendo, è venuto fuori il pasticcio, ma il bonifico era già stato fatto purtroppo.

Conclusioni

Questo tentativo è stato scoperto per puro caso anche se l’email presentava comunque dei forti segnali di contraffazione.

Ma cosa sarebbe successo se qualcuno fosse veramente entrato nell’email del Presidente Mario Rossi e avesse effettivamente mandato un’email con un ordine di bonifico?

A quel punto scoprirlo sarebbe stato impossibile a meno che non ci fosse stata una procedura interna all’azienda con un doppio controllo o verifica ma a livello italiano tali procedure sono rare come una mosca bianca purtroppo.

Non mi stancherò mai di ripeterlo.

Massima attenzione sempre!

Dai un voto all'articolo

5

Lascia un commento...

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.