Una delle truffe informatiche in cui mi sono imbattuto di recente è quella del cambio IBAN. Questa cosa mi ha fatto capire che non è mai possibile garantire quanto siano effettivamente sicure le email che riceviamo e se siano immuni a tentativi di truffa.
E’ successo infatti che ieri un utente mi ha contattato per informarmi che il cliente aveva ricevuto un IBAN diverso da quello che gli era stato inviato. Incuriosito e un po’ preoccupato, sono andato a controllare la posta inviata per escludere la possibilità di un errore umano, ma tutto era perfettamente in ordine.
Solo in quel momento mi sono reso conto che stavamo affrontando le conseguenze di una truffa informatica perpetrata via email.
In pratica, ciò che è accaduto è che l’Utente A ha inviato un’email all’Utente B, includendo il proprio IBAN nel messaggio.
Tuttavia, nel momento in cui l’Utente B ha aperto la mail, ha scoperto un IBAN differente, cioè quello appartenente al truffatore, invece dell’IBAN originale che era stato inviato dall’Utente A.
Cosa è successo all’allegato?
L’allegato presente nella mail è stato modificato ad-hoc per far ricevere il bonifico all’utente C ovvero il truffatore.
L’utente B non ha avuto dubbi sulla mail ricevuta in quanto la mail del mittente è quella da cui si aspettava il bonifico quindi esegue il bonifico senza pensarci salvo poi accorgersi di aver sbagliato non appena l’utente A gli comunica di non aver ricevuto il bonifico.
La truffa messa in atto prima prevedeva transazioni internazionali, ora invece punta a IBAN nazionali e se non siamo reattivi nell’agire rischiamo di perdere i soldi.
Cosa è successo alla mail?
Determinare con esattezza cosa sia realmente accaduto non è semplice, ma è probabile che il truffatore abbia sfruttato la nostra cache o che abbia avuto accesso alla password compromessa della mail. In questo modo, è riuscito ad accedere ai dati della casella di posta del mittente e a modificare l’allegato. Anche se può sembrare un’operazione impossibile, a livello informatico, per un malintenzionato esperto, è un gioco da ragazzi realizzare tali manipolazioni.
Come posso proteggermi?
Partiamo con il dire che la sicurezza informatica non esiste, ma che siamo noi utenti che dobbiamo avere consapevolezza dei rischi che possano generarsi a fronte di nostre disattenzioni o negligenze, esistono alcuni piccoli accorgimenti.
Ecco alcuni dei consigli che vi sento di darvi:
- Modificare la password della mail con regolarità. Usando magari password lunghe e composte da lettere, numeri, caratteri speciali.
- Aggiornare con buona regolarità il sistema operativo (almeno una volta al mese MINIMO)
- Installare e mantere aggiornato l’antivirus
- Evitare di mandare file Word/Excel con il mio IBAN ma usare un PDF, meglio ancora se trattasi di un PDF firmato. Infatti la firma non è possibile “modificarla” in quanto è univoca ed indica la persona che l’ha apposta.
- Verificare sempre con il destinatario che abbia ricevuto quanto da noi mandato