Continua la caccia ai 5 milioni di euro sottratti alle Poste, oggetto di un attacco Bec (Business email compromise) e di un tentativo di phishing andato a buon fine a causa dell’ingenuità di una dipendente.
Colpo messo a segno grazie a una lettera sbagliata
Cosa è successo? Una dipendente postale non ha notato la differenza tra due lettere una “l” al posto di una “i” prendendo per buona @mlcrosoft invece che @microsoft. Questo errore ha fatto andare a buon fine il piano. Infatti, i truffatori sono riusciti a introdursi nella posta aziendale e hanno inviato il nuovo iban (falso) per ricevere il pagamento, così che l’impiegata ha bonificato i soldi sull’account farlocco. Il denaro sarebbe stato destinato all’acquisto di alcuni prodotti informatici.
Comunicazioni farlocche tra Poste e Microsoft
“Pagate l’ultima rata della fattura su questo nuovo Iban”, ecco la comunicazione che ha fatto abboccare la responsabile dei pagamenti.
Dal giorno dell’accaduto, il 14 aprile 2017, gli investigatori della Polizia postale sono sulle tracce dei ladri. Le attività sembrano aver stretto il cerchio sugli autori della truffa milionaria, peccato sia ormai impossibile risalire al denaro che sembra aver fatto il giro del mondo. La procura, il Pubblico Ministero Eleonora Fini insieme agli agenti della postale stanno svolgendo un lavoro attento che sta producendo risultati. Si indaga per truffa e riciclaggio.
“L’ufficio del sostituto procuratore è impegnato in questo caso. Confidiamo, a breve, di avere delle risultanze positive in merito a questa inchiesta”, spiega il legale che per Poste sta seguendo l’indagine, l’esperto penalista Angelo Nanni. “Siamo in attesa – precisa l’avvocato – che si chiudano le indagini”.
Tuffe Bec (Business email compromise), come funzionano?
Il denaro rubato attraverso le truffe Bec superano di gran lunga gli attacchi ransomware, anche se questi ultimi possono ottenere maggiore visibilità e causare disagi e perdite più rilevanti, lo sottolinea L’Fbi negli Stati Uniti.
Nel caso di un colpo Bec, gli aggressori si infilano abusivamente in un account di posta elettronica aziendale, captando le informazioni necessarie per potersi inserire illegalmente nella corrispondenza e utilizzare un falso indirizzo per inviare fatture false o indurre qualcuno a effettuare pagamenti di contratti. Così, le aziende convinte di effettuare pagamenti legittimi cadono in errore, trasferendo il denaro ai diretti criminali, (come nel caso della responsabile dei pagamenti truffata alle Poste).
Striscia la Notizia si è occupata del fenomeno delle truffe online e di come difendersi dai tentativi di Pishing in circolazione.
