What is the CEO scam, and how can you defend yourself?

La truffa del CEO (o CEO fraud) è una frode informatica che porta i criminali a spacciarsi per un dirigente o un amministratore delegato dell'azienda ordinando all’impiegato di effettuare una transazione bancaria urgente e confidenziale, indispensabile per il buon esito di una trattativa o di un progetto in corso.

Può colpire qualsiasi dipendente di un'azienda, specialmente quelli che hanno accesso a risorse economiche e finanziarie o che sono autorizzati a emettere pagamenti e bonifici.

Quali sono i modi in cui gli aggressori commettono frodi ai CEO? Ecco due degli esempi più comuni:

• Fingono di essere un dirigente che richiede una transazione commerciale urgente e segreta. Spesso approfittano del fatto che l'amministratore delegato è in viaggio o sanno che non risponderà al telefono.
• Fingono di essere un fornitore che ha bisogno di cambiare urgentemente il conto corrente per il prossimo pagamento.

È molto difficile ostacolare questi tentativi di frode perché i truffatori sono molti abili e riescono a mascherare la propria identità. La raccomandazione principale in questi casi è senza dubbio la sensibilizzazione del personale nei confronti di questi fenomeni.
Che possiamo fare allora per prevenire questo tipo di frode?
Ecco alcuni consigli:

• Controlla l'indirizzo e-mail del mittente per assicurarti che sia il suo. I truffatori inviano le loro comunicazioni da indirizzi e-mail che fingono di essere autentici, quindi fai attenzione al contenuto che appare dopo la "@".
• Controlla la formulazione del testo: il contenuto di queste e-mail contiene spesso errori grammaticali e di ortografia.
• Agisci con cautela quando le istruzioni nell'e-mail sono insolite, molto urgenti e confidenziali.
• Contatta il mittente, via telefono o altro canale, per confermare la richiesta ricevuta, ma non farlo rispondendo all'e-mail.
• Contatta  il mittente, per telefono o altro canale, per confermare il nuovo numero di conto per effettuare il pagamento, ma non farlo rispondendo all'e-mail ricevuta.
• Evita di pubblicare indirizzi e-mail aziendali su Internet e di condividerli con persone di cui non ti fidi. 
• Non condividere le informazioni sull'organigramma della tua azienda con terzi.
• Non scaricare allegati chiamati "fattura", "ordine di pagamento", "ordine di acquisto", ecc. se provengono da una mail sospetta.

Esiste un’altra variante della truffa del CEO in cui i criminali informatici entrano negli account di posta elettronica dei fornitori dell’azienda per informarli che hanno cambiato il numero di conto a cui pagano abitualmente le fatture o, in altri casi, per ottenere informazioni sulle transazioni in corso, intercettare fatture legittime o creare fatture false per cambiare il conto con uno falso per poter intascare i soldi.

Questo tipo di frode viene realizzata da organizzazioni criminali che hanno una conoscenza approfondita delle aziende che intendono frodare: struttura interna, clienti, fornitori, operazioni abituali, ecc.

Questo tipo di truffa rientra nella categoria di truffe fatte via e-mail o via telefonata, come il phishing, che originano dalla violazione della casella di posta elettronica e approfittano del comportamento inconsapevole dell’utente per carpire informazioni sensibili.