Fatture compromesse e bonifici fraudolenti

Credit immagine di copertina: Scott Graham on Unsplash

A seguito di una segnalazione di violazione dei processi di pagamento da parte di un'azienda di mia conoscenza, sono venuto a sapere di un secondo (a me noto - non ho idea su scala nazionale) incidente informatico con la stessa modalità di azione.

Quello che accade è quanto segue: un'azienda fornitrice di servizi invia le proprie fatture via e-mail. Il cliente finale la valida e la verifica, tuttavia poco dopo riceve un'altra comunicazione nella quale viene detto di verificare, poiché la precedente comunicazione conteneva una coordinata IBAN errata. In allegato alla nuova e-mail è presente un'immagine contenente la fattura originale ma le coordinate bancarie corrette. Il file dell'immagine non è altro che la fattura originale (generalmente in PDF) ritoccata, sulla quale è stato incollato il trafiletto con le coordinate bancarie alterate.

Nel primo caso che ho avuto occasione di analizzare, il tutto è stato ricondotto ad una debolezza nelle credenziali di posta del gestore che ha consentito al malintenzionato di creare un inoltro di tutte le e-mail ricevute dall'azienda colpita. Le successive comunicazioni venivano inviate tramite un altro gestore con un indirizzo e-mail che non aveva nulla a che vedere con quella aziendale (nel primo caso, @gmail.com).

In entrambi i casi, la modalità operativa descritta è identica. Dall'analisi delle intestazioni dei messaggi, abbiamo avuto modo di appurare che le e-mail non partivano dal sistema di posta del mittente ma da un indirizzo IP che – secondo i registri di Internet – ha sede in Nigeria. Abbiamo avuto anche modo di appurare – sebbene questa possa essere una mera congettura – che si trattava di bonifici effettuati a mezzo SWIFT e non SEPA. A seguito di una riflessione un po' più lunga e ad ampio spettro, posso anche dire che le due aziende svolgono un'attività abbastanza similare tra di loro (pur non essendo collegate).

Pur non trattandosi di una violazione diretta del sistema informativo dell'azienda, nel primo caso del gestore di posta in cloud, nel secondo caso invece le analisi sono ancora in corso, il fatto che nel giro ristretto di clienti che gestiamo siano capitati due incidenti analoghi fa pensare che questo fenomeno possa ampliarsi ulteriormente.

Articolo originale su en3py.net del 23 Gennaio 2017.