L'email arriva dal tuo amministratore delegato. Chiede un bonifico urgente. E' riservato, non parlarne con nessuno. Peccato che non sia davvero lui.
La CEO fraud e la forma piu devastante di Business Email Compromise. Il criminale finge di essere il CEO, l'amministratore delegato o un altro dirigente della tua azienda. Scrive a un dipendente — di solito in amministrazione o finanza — e chiede un'azione urgente.
“Devi fare un bonifico di 45.000 euro a questo fornitore. E urgente, non posso chiamare adesso. Non parlarne con nessuno, e riservato.”
Qual e la differenza con il whaling? Il whaling prende di mira il CEO stesso. La CEO fraud usa il nome del CEO come arma per colpire i suoi collaboratori. Il criminale sfrutta il rapporto gerarchico: chi rifiuterebbe una richiesta diretta dell'amministratore delegato?
Funziona perche nessun dipendente vuole dire “no” al proprio capo. Soprattutto quando l'email dice “urgente” e “riservato”. E' un attacco psicologico prima ancora che tecnico.
Scenario reale. Martedi mattina, l'addetta alla contabilita riceve questa email:
Da: Marco Rossi <m.rossi@azienda-esempio.com>
Oggetto: Bonifico urgente — RISERVATO
“Ciao Laura, ho bisogno che tu faccia un bonifico urgente di 38.500 euro a un nuovo fornitore. Ti mando l'IBAN qui sotto. Devi farlo entro oggi, e un'operazione riservata legata a un'acquisizione. Non parlarne con nessuno del team per ora. Grazie, Marco”
L'attaccante studia l'azienda: chi e' il CEO, chi gestisce i pagamenti, come comunicano internamente. Usa LinkedIn, il sito web, comunicati stampa. In Italia, basta una visura camerale per sapere chi e' l'amministratore.
Crea un indirizzo email quasi identico a quello del CEO. Magari cambia una lettera: m.rossi@azienda-esernpio.com (con la 'r' e la 'n' che sembrano una 'm'). Oppure usa un dominio simile. In alcuni casi, ha compromesso davvero l'account del CEO.
L'email arriva con tutte le leve giuste: urgenza ('entro oggi'), segretezza ('non parlarne con nessuno'), autorita' ('e' una decisione del board'). Spesso il criminale aggiunge 'sono in riunione, non chiamarmi' per evitare verifiche telefoniche.
Laura esegue il bonifico. I soldi arrivano su un conto controllato dal criminale, spesso all'estero. Entro poche ore vengono spostati su altri conti e diventano irrecuperabili. Il danno medio? Decine di migliaia di euro. A volte milioni.
La CEO fraud non e un attacco raro. E uno dei crimini informatici piu redditizi al mondo:
perdite globali per attacchi BEC nel 2023 (FBI IC3). La CEO fraud e la categoria principale
perdita media per singolo attacco CEO fraud in Europa (Europol)
delle aziende che ha subito almeno un tentativo di CEO fraud nel 2024
In Italia, la Polizia Postale segnala centinaia di casi ogni anno. Le PMI sono bersagli privilegiati: meno controlli interni, meno formazione, piu fiducia nei rapporti diretti. Calcola il rischio per la tua azienda con il Calcolatore Costo Attacco.
Spesso vengono confusi. Ecco le differenze:
Il criminale finge di essereil CEO. Scrive ai dipendenti per chiedere bonifici o dati. L'attaccante sfrutta l'autorita del capo.
Il criminale prende di mirail CEO. Il dirigente e la vittima, non l'arma. L'obiettivo e rubare credenziali o dati al “pesce grosso”.
Attacco mirato a una persona specifica, con informazioni personalizzate. La CEO fraud ne e un sottoinsieme particolarmente efficace.
La CEO fraud non usa link ne allegati. Non c'e malware da scansionare. E un attacco basato pura sull'inganno. Ecco perche serve un'analisi intelligente:
MailSniper confronta il nome del mittente con i nomi dei dirigenti aziendali. Se qualcuno scrive 'da parte del CEO' ma l'indirizzo non corrisponde, l'email viene bloccata o segnalata.
Domini simili come 'azienda-esernpio.com' (n+r = m) vengono rilevati automaticamente. MailSniper usa algoritmi di distanza per identificare i domini che imitano il tuo.
Le email che contengono richieste di bonifico, urgenza, segretezza e autorita' gerarchica vengono analizzate con attenzione speciale. Sono i segnali tipici della CEO fraud.
Quando MailSniper rileva un tentativo di CEO fraud, avvisa immediatamente l'amministratore IT e il destinatario. La velocita' di reazione fa la differenza tra un tentativo e un disastro.
Business Email Compromise: la categoria di attacchi di cui la CEO fraud e' la forma piu' nota e pericolosa.
Quando il CEO e' la vittima, non l'arma. L'attacco mira direttamente ai dirigenti per rubare credenziali o dati.
Phishing mirato a una persona specifica. La CEO fraud ne e' la versione che sfrutta l'autorita' del capo.