Ricevere “Spoofed e-mail” è ormai l’assoluta normalità.

Spoofed e-mail

A chi non è capitato di trovare nella cassetta della posta in entrata un messaggio, all’apparenza proveniente da una fonte affidabile, di solito un cliente o un fornitore ma che, in realtà, è uno dei più subdoli strumenti usati ai cybercriminali non solo per carpire dati ma anche per ottenere pagamenti su loro conti irrintracciabili.
E se le riceviamo noi, sui nostri smartphone, immaginiamo quante ne possano ricevere le aziende che sono i principali bersagli di questa tipologia di attacco che, per hacker abbastanza esperti è decisamente facile mettere in atto.
È, infatti, sufficiente infiltrarsi negli account email, intercettare anche poche informazioni su pagamenti imminenti e inviare una apparentemente innocente mail quale, ad esempio, “ti ricordo che oggi scade la rata di…” per poter così dirottare i pagamenti verso i loro conti correnti.

Potrebbe interessarti > Hacker: chi sono e cosa vogliono. Possiamo difenderci?

L’invio di queste mail è spesso il frutto di accurate analisi di ingegneria sociale per individuare l’anello debole nella catena dell’azienda destinataria; magari un impiegato più distratto.
Ogni imprenditore e professionista deve pertanto predisporre gli strumenti per difendersi da questo tipo di attacchi anche in considerazione che le mail in questione possono essere ricevute da qualsiasi collaboratore, segretaria, contabile che, magari, ha anche margini decisionale o è proprio, guarda caso, la persona che deve fare il pagamento.

Per saperne di più > Quanto costa un Data Brech per una piccola impresa?

Alcuni piccoli ma fondamentali accorgimenti possono essere utili.

Il primo, sicuramente, è quello di includere le istruzioni per i pagamenti già nei contratti, indicando la banca del beneficiario e il numero di conto oppure, quantomeno, al momento della definizione di un accordo inserire indicazioni non modificabili e una policy chiara e scritta per eventualmente modificare le istruzioni di pagamento che richieda notifica e consenso scritto preventivo di entrambe le parti.
Allo stesso modo è opportuno definire un canale di comunicazione sicuro per questioni legate ai pagamenti che richieda l'autenticazione a più fattori. Specialmente laddove si trattasse di somme importanti (e non è eccesso di cautela), si potrebbero prevedere pagamenti effettuati durante una videochiamata.
Inoltre, potrebbe essere opportuno limitare il numero di dipendenti che possono effettuare i pagamenti o apportare modifiche sulle modalità degli stessi. Sul punto una loro adeguata formazione sulle procedure di verifica per garantire la conformità sarebbe a dir poco opportuna così come, ad esempio, stabilire un preventivo doppio controllo prima di autorizzare il pagamento.

Inoltre, a fronte di alcuni casi verificatisi negli Stati Uniti (ma il dubbio che siano avvenuti anche da noi è lecito), oltre a non fare affidamento sulle e-mail che indicano modalità di pagamento in prossimità delle scadenze, occorre prestare cautela anche ai contenuti di telefonate di verifica presso il destinatario del pagamento. Ci vuole poco a inserirsi su una linea telefonica per chi svolge questa attività e fornire ampie rassicurazioni.

In ogni caso è buona prassi definire anche una policy di risposta agli incidenti che possano causare compromissioni delle mail e degli account. Misura minima è quella del cambio delle password, ma anche la previsione di regolari audit di sicurezza per garantire la conformità alle procedure e per rilevare potenziali compromissioni magari quando sono solo a livello di pericolo.

Per saperne di più> Come si devono proteggere i dati?

Ovviamente devono essere mantenute tutte le prove e le evidenze dei pagamenti e i dettagliati di tutte le relative comunicazioni che potrebbero rivelarsi utili in caso di contestazioni o addirittura contenziosi.

Anche dotarsi di una polizza assicurativa è idea da non scartare.
In ogni caso, come appare evidente, tutto muove dalla consapevolezza dei pericoli che derivano dal necessario utilizzo di strumenti informatici e del rischio specifico per ogni singolo operatore sulla base della propria attività, della sua struttura e dell’organigramma aziendale.
Un monitoraggio dei contratti e dell’organizzazione aziendale potrebbero, in tal senso, rivelarsi una carta vincente e affidarsi ad un buon avvocato d’impresa un suggerimento sempre valido.