Che cos’è la “frode del CEO”?
La frode CEO è un tipo di attacco informatico che può essere commesso utilizzando i metodi discussi finora: attraverso il Phishing (e-mail), il Vishing (telefonata o videochiamata) e lo Smishing (messaggio di testo o invio di un messaggio video o audio).
Consiste nell’impersonare una persona con una posizione di autorità o responsabilità all’interno di un’azienda privata o di un ente pubblico. Sebbene si riferisca al CEO (direttore generale o esecutivo), può essere sostituito da qualsiasi manager, direttore, coordinatore o persino da politici e personaggi pubblici.
L’obiettivo è che l’Utente abbia piena fiducia nella comunicazione ricevuta, perché è una persona affidabile la cui richiesta deve essere soddisfatta. Infatti, oggi è sempre più facile creare comunicazioni false utilizzando l’immagine e la voce reale di una persona (come possiamo vedere nell’immagine di esempio, con i volti delle celebrità) grazie all’Intelligenza Artificiale. Inoltre, per evitare che gli Utenti abbiano il tempo di riflettere attentamente sulla risposta o per individuare eventuali frodi, le richieste effettuate con questi mezzi sono quasi sempre estremamente urgenti.
Che cosa implica questo?
Se il nostro capo ci chiede urgentemente di cambiare una password, di scaricare un file, di effettuare un trasferimento o di fornire alcuni dati o informazioni, è probabile che rispondiamo il più rapidamente possibile, senza pensare se quello che ci sta chiedendo ha senso.
Come possiamo rilevare questi attacchi?
- Contatto con altri mezzi: una telefonata alla persona che ci sta chiedendo urgentemente qualcosa ci permette di verificare se si tratta di una frode o di una richiesta reale. È molto importante non cercare di effettuare questo controllo rispondendo allo stesso messaggio, perché potremmo allertare il criminale informatico del nostro sospetto e sarebbe peggio.
- Applicare la logica comune: prendetevi un po’ di tempo per pensare se ciò che viene richiesto è abituale o anche se vengono utilizzate le vie indicate nelle politiche aziendali o nelle procedure di lavoro per tali richieste. Vediamo alcuni esempi:
-
- Se le procedure interne prevedono che la modifica della password debba essere richiesta per posta a uno specifico indirizzo di assistenza o tramite una specifica piattaforma, non fidatevi delle chiamate o dei messaggi di testo o vocali che potreste ricevere, senza essere certi che non si tratti di una truffa.
- Se ci è vietato inviare informazioni tramite Whatsapp o servizi simili, il nostro superiore non ci chiederà mai documenti o dati riservati con questo mezzo.
- Se per i trasferimenti è richiesta una doppia approvazione o un controllo interno, non modificate i dettagli di pagamento e non eseguite tali transazioni con leggerezza. Per quanto urgenti possano essere.
-
VI RICORDIAMO ANCORA UNA VOLTA: Se ritenete di aver fornito informazioni personali o professionali che non avreste dovuto divulgare a causa di questo tipo di attacco informatico, segnalatelo al reparto IT, al CISO o al DPO sul posto di lavoro e denunciatelo alla polizia .