È un caso reale successo tempo fa a un nostro cliente e di cui avevo già parlato sia nel blog che sul libro. Vediamo come funziona una truffa via email.
Lo espongo qui per farti capire da una parte come è facile cascarci, anche se ci sono parecchie zone d’ombra che avrebbero potuto fare capire che c’era qualcosa che non funzionava, dall’altra per dimostrarti che occorre sempre fare attenzione a quello che si fa e a basilari norme di sicurezza da osservare sempre e comunque.
La truffa tramite un terzo incomodo (man in the middle)
Gli attori sono due; fornitore, cliente e un terzo che si intromette e attua la truffa.
Il fornitore ha l’email [email protected] e il cliente [email protected].
Ecco come funziona.
Il truffatore riesce a penetrare nella casella di gianniverdi (malware, phishing, password semplice da ricordare e così via) e per un po’ sta a guardare il flusso di email. Da questo flusso vede che mariorossi (il fornitore) periodicamente spedisce a gianniverdi (il cliente) delle fatture che vengono saldate tramite bonifico.
Dopo essere stato alla finestra per un po’, entra in azione.
Manda un’email a [email protected] (il fornitore) da un indirizzo email quasi identico a quello del cliente che si è creato apposta, e cioè [email protected], dicendo che la sua email è cambiata e di usare quella.
Ovviamente mariorossi non sospetta di nulla perché la richiesta gli sembra legittima e perché non ha tempo e voglia di controllare di persona – magari al telefono – se la richiesta è legittima e, da quel momento, inizia ad inviare le fatture all’indirizzo falso [email protected] pensando di inviarle al vero gianniverdi.
Il truffatore riceve così le fatture indirizzate al vero gianniverdi, le modifica variando l’iban (operazione da 30 secondi per modificare un pdf), e le rigira al vero gianniverdi da un altro indirizzo email finto che si è creato apposta e che assomiglia a quello di mariorossi e cioè [email protected].
Il cliente gianniverdi riceve le fatture e le paga usando l’iban del truffatore.
Questa storia va avanti finché il vero mariorossi non contatta direttamente gianniverdi perché non vede arrivare alcun pagamento; quest’ultimo dice che ha pagato e alla fine il tutto emerge.
Cosa è successo realmente nella truffa
Quello che è successo è che i due pensavano di parlare tra di loro mentre invece il truffatore faceva da terzo incomodo (attacco man in the middle) e filtrava e modificava le loro comunicazioni; le riceveva da uno e le mandava modificate all’altro e viceversa.
Nel caso specifico i due sono in due paesi differenti e molto lontani quindi i contatti telefonici sono ridotti al minimo. Questo ha giocato a favore del truffatore, come sicuramente ha giocato il fatto che ogni singola fattura era di importo molto consistente.
Sicuramente c’è stata un po’ di leggerezza e sicuramente questo non sarebbe successo se i due avessero usato delle email su domini non generici come gmail o outlook ma di loro proprietà.
O, meglio, non è che non sarebbe potuto succedere, ma sarebbe stato più complesso. Se le cifre sono consistenti, nulla vieta al truffatore di turno di registrarsi un dominio simile a quello del cliente e del fornitore e a mettersi nel mezzo.
Supponiamo che il fornitore abbia l’email [email protected] e il cliente [email protected]. Il truffatore potrebbe registrare fintex.com o fintex.eu e robocom.com o robocom.net a seconda di quelli che sono liberi e poi mettersi in mezzo alle varie comunicazioni.
Come evitare la truffa del terzo incomodo
Pochissime persone ancora oggi guardano se l’indirizzo email è lo stesso con il quale corrispondono e lo vedo anche io perché a volte scrivo con uno dei tanti indirizzi email e domini che ho e mai nessuno ha obiettato qualcosa o mi ha chiesto se fossi proprio io.
È sempre meglio, quando si tratta di questioni importanti o ci sono di mezzo dei soldi, usare la massima attenzione perché basta un attimo e si possono perdere veramente tanti soldi come è successo in questo caso.
Quando ricevi una notifica di cambio iban, per esempio, da un tuo fornitore abituale, per prima cosa verifica immediatamente se l’email dalla quale è stata spedita la comunicazione è quella che sei abituato a vedere quando scrivi a quel fornitore.
Per esempio il fornitore ha sempre usato l’email [email protected] ma questa richiesta ti arriva da [email protected].
In questo caso NON rispondere all’email ma scrivi direttamente all’indirizzo che sei abituato a utilizzare (@grupporossi.it) e chiedi conferma del cambio IBAN spiegando cosa succede.
Oppure rispondi chiedendo che tali comunicazioni siano inviate solo tramite PEC, controllando anche che la PEC usata sia effettivamente quella del tuo fornitore.
Come vedi è relativamente semplice la verifica; certo, richiede un minimo di impegno e tempo ma potrebbe evitarti danni economici ben peggiori perché se tu non controlli e fai il bonifico sull’IBAN sbagliato, non vedrai più indietro i tuoi soldi.
