La truffa perfetta: nessun allarme, nessun malware, ma i soldi erano spariti!

Un cliente paga regolarmente una fattura, l’hotel non riceve nulla e entrambi hanno ragione. Dietro il mistero si nasconde un attacco di Business Email Compromise: una mail perfetta, un IBAN modificato e migliaia di euro spariti. La vera vulnerabilità? La fiducia.

Ci sono attacchi informatici che fanno rumore. Server bloccati, schermate rosse e richieste di riscatto. Poi ci sono quelli che non fanno alcun rumore. E sono proprio questi a fare più paura. Qualche tempo fa mi sono trovata a vivere, insieme ai ragazzi del team tecnico, una situazione che sembrava uscita più da una puntata di The Office che da un film di fantascienza. Una fattura apparentemente non pagata. Un cliente convinto di aver effettuato il bonifico.

Un ufficio amministrativo convinto di non aver ricevuto nulla. E la cosa più assurda? Avevano ragione entrambi.

“Ma io ho già pagato”

La telefonata arrivò più o meno così: “Buongiorno, guardi che il saldo l’ho già effettuato qualche giorno fa.” Dall’altra parte, l’amministrazione dell’Hotel X controlla. Nessun accredito, nessun movimento, nessuna traccia. Il cliente, però, era tranquillo come chi ha appena consegnato l’Anello del Potere a Frodo ed è convinto che ormai il problema sia risolto.

Aveva la ricevuta, la contabile e perfino la mail con le coordinate bancarie ricevute dall’hotel. Ed è qui che la storia smette di essere una pratica amministrativa e diventa un thriller. Confesso che all’inizio anch’io pensavo fosse il classico malinteso amministrativo. Una di quelle situazioni che in un hotel generano qualche telefonata, un po’ di confusione e che poi si risolvono davanti a un estratto conto. Mi sbagliavo.

Il dettaglio che nessuno aveva notato

A prima vista sembrava tutto perfetto, il logo era corretto, la firma anche e il tono era molto professionale. Persino la cronologia delle conversazioni era presente nella mail e sembrava una comunicazione autentica. Anzi, sembrava così autentica che nessuno avrebbe mai avuto motivo di dubitarne, ma era esattamente li il problema.

Qualcuno si era infilato nella conversazione con la stessa discrezione con cui Tom Cruise entra in una base segreta in Mission Impossible, senza nessun allarme, nessuna esplosione, nessuna schermata lampeggiante.

L’hacker non ha solo violato il sistema. Ha violato la fiducia.

E qui arriva la parte che mi colpisce sempre. Un attacco ATO (Account Takeover) puro e semplice. Si tratta di una delle minacce informatiche ormai più diffuse in assoluto in cui l’attaccante prende possesso dell’account di un utente per utilizzarlo come se fosse il legittimo proprietario. Ti chiederai come? Facile!

Un’email di phishing precedente, attacchi MFA ByPass, Social Engineering, MitM (Man-in-the-Middle), e chi più ne ha, più ne metta! E poi ha semplicemente sfruttato il fatto che gli esseri umani tendono a fidarsi di ciò che riconoscono. In pratica non ha hackerato solo l’account. Ha hackerato il cervello. Che, tra parentesi, continua a essere il sistema operativo più utilizzato e meno aggiornato del pianeta.

Il colpo di scena

Per quasi mezz’ora, in albergo, continuavano a controllare gli estratti conto convinti che il problema fosse bancario. Nessuno stava guardando la mail. Eppure, la risposta era lì da tutto il tempo.
Quando abbiamo iniziato ad analizzare noi la documentazione è emerso il particolare che ha fatto accendere tutte le lampadine.

L’intestatario del conto era praticamente identico a quello della società. Stesso nome, stessa ragione sociale, stessa credibilità apparente. Sembrava una di quelle puntate di Scooby-Doo in cui il colpevole è travestito così bene che nessuno sospetta nulla fino agli ultimi cinque minuti. L’unica differenza?

Il conto corrente. Aperto all’estero. In uno di quei paesi dove recuperare il denaro è più complicato che trovare Wally, con la sua maglietta a righe, in una spiaggia ad agosto. Guardando quelle mail ho avuto la stessa sensazione di quando riguardi una scena di un film per la seconda volta e improvvisamente noti il dettaglio che il regista ti aveva nascosto sotto gli occhi fin dall’inizio. Il cliente aveva effettuato il pagamento.

L’hotel non aveva ricevuto nulla. L’attaccante, invece, probabilmente stava festeggiando. Ricordo ancora il silenzio che si è creato quando abbiamo capito cosa fosse successo. Nessuno parlava. Non perché non sapessimo cosa dire, ma perché avevamo appena realizzato quanto fosse stato semplice. Ed è proprio questo che mi inquieta di più, non la bravura dell’attaccante. La normalità dell’attacco. Se mi avessero mostrato quella mail senza conoscere la storia, probabilmente non avrei avuto motivi per dubitarne nemmeno io.

Come si riconosce un attacco del genere?

La risposta sincera? E’ che è molto difficile, perché non stiamo parlando di quegli attacchi che ti bloccano completamente il pc e nemmeno di quelle minacce che fanno scena e finiscono nei titoli dei giornali. Stiamo parlando di Business E-mail Compromise. Una truffa che vive di dettagli. Piccoli dettagli.

Un IBAN che cambia all’improvviso, una richiesta urgente, una modifica inaspettata delle modalità di pagamento. Un invito a non telefonare per verificare. Un conto estero quando normalmente si lavora con una banca italiana. Sono quei particolari che, presi singolarmente, sembrano innocui. Ma messi insieme raccontano una storia completamente diversa.

Come quando nei film horror senti uno strano rumore provenire dalla cantina. Preso da solo non significa nulla, ma nessuno intelligente scenderebbe comunque a controllare. Alla fine, più analizzavamo la vicenda e più mi rendevo conto che il vero capolavoro dell’attaccante non era stato rubare dei soldi. Era riuscire a non sembrare un attaccante.

La lezione che mi sono portata a casa

Quel giorno nessun server è stato cifrato, nessun PC si è spento, nessun tecnico ha iniziato a correre per i corridoi urlando: “Abbiamo un problema!”. Ma un account era stato compromesso e qualcuno aveva perso soldi veri. Perché la cybersecurity moderna non protegge soltanto computer e reti. Protegge relazioni, conversazioni, processi e fiducia. Ed è forse questa la parte più difficile da comprendere. Oggi gli hacker non cercano soltanto vulnerabilità tecnologiche, cercano vulnerabilità umane. Perché non è detto che il bersaglio fosse la struttura. In molti casi la compromissione riguarda proprio il cliente, e qui non c’è firewall che tenga, credetemi.

A volte, però, bastano trenta secondi di telefonata per salvare la situa. Trenta. Maledetti. Secondi. Per evitare una perdita da migliaia di euro. E dopo aver vissuto questa storia da vicino, posso garantirvi una cosa. Per quanto sofisticato possa essere un attacco informatico, ci sono ancora cose che un hacker fatica a violare. Una di queste è l’abitudine di prendere il telefono e chiedere: «Mi confermi questa informazione?».

Ed ogni volta che racconto questa storia vedo le persone annuire quando parlo di firewall, ransomware e malware ma poi arrivo alla parte della mail e improvvisamente nella stanza cala il silenzio. Perché tutti, almeno una volta, si sono fidati di una mail. Quel giorno ho avuto la conferma di una convinzione che mi accompagna da anni: la cybersecurity è prima di tutto una questione di persone.

L’hacker ha letto la tua ultima mail prima di te?

E ora fermati un attimo e pensa a una cosa. L’ultima mail che hai ricevuto l’hai davvero controllata… o ti sei semplicemente fidato?

Erminia Minieri

Professionista in Marketing & Communication con esperienza nel settore ICT e soluzioni tech per l’hospitality. Attualmente in MEGINET, coordino attività di comunicazione strategica, gestione progetti e iniziative formative su cybersecurity per il turismo alberghiero.

Aree di competenza: Marketing & Communication, Cyber Security, Graphic Design, Web Design