La cyber-truffa da 5 mln di Euro a Poste Italiane

TL;DR Catturati i responsabili di un attacco BEC che, nel 2015, fruttò ben 5 milioni di Euro ai danni di Poste Italiane. Ma vogliamo parlare di come, stando alle cronache, sia stato fin troppo facile per i cyber-criminali portare a segno un attacco di questo tipo?

Un articolo odierno su Repubblica.it, “Hacker, banche e riciclaggio per la truffa alle Poste da cinque milioni” a firma Giuseppe Scarpa, ha attirato la mia attenzione.

La descrizione dei fatti è un po’ confusa ma, in sostanza, sembra che siamo davanti a un classico attacco BEC – Business Email Compromise – che ha fruttato, ai cyber-criminali, la bellezza di 5 milioni di Euro:

“È bastata un’email con una lettera diversa, una “l” al posto di una “i” per indurre in errore una funzionaria addetta al pagamento di un pacchetto di programmi: “@mlcrosoft” in sostituzione all’originale “@microsoft”. Così la responsabile dei pagamenti ha bonificato i soldi sul nuovo Iban indicato nell’account farlocco.”

“Hacker, banche e riciclaggio per la truffa alle Poste da cinque milioni”, 09.10.2023, Repubblica.it

Cyber-criminali brutti e cattivi, sicuramente, ma vogliamo parlare del fatto che la “dipendente pubblica non ha notato la differenza tra le due lettere e ha autorizzato il saldo”? Perché, al di là dell’attacco e senza voler fare victim blaming, quando siamo davanti a cifre così importanti non possiamo non chiederci se davvero basta una mail, per quanto ben fatta, per autorizzare un pagamento simile. E se, davvero, Poste Italiane non abbia procedure precise e controlli incrociati prima di “staccare” bonifici da milioni di euro, oltre che l’erogazione dell’opportuna formazione ai dipendenti, in particolare coloro che trattano simili importi.

Senza considerare che per un attacco di tipo BEC è necessario comunque avere avuto accesso alla casella di posta (in genere, peraltro, si agisce modificando direttamente l’IBAN nella mail originale sfruttando alcune caratteristiche del protocollo IMAP) e davvero rinunciamo a chiederci se le caselle di posta di segreterie che maneggiano tali importi non abbiano sistemi di autenticazione sicuri (ad esempio, MFA)?

Non è molto rassicurante pensare che bastano banali tecniche di social engineering per raggirare Poste Italiane per milioni di euro, quando in realtà dovrebbero chiedere conto al management sulle procedure e sulla formazione a cui i dipendenti, soprattutto coloro in possesso di particolari diritti, dovrebbero essere sottoposti

Per finire questa amara riflessione, anche la stampa mainstream sembra rinunciare al suo compito di informare e, soprattutto, di chiedere conto a Poste Italiane per quanto accaduto. Certamente le forze di Polizia hanno fatto un gran lavoro nel ricostruire l’intera filiera del denaro per assicurare i responsabili alla Giustizia ma credo che qui ci siano precise responsabilità anche da parte di chi, con tecniche ampiamente note da anni, si è fatto sottrarre in modo piuttosto banale una somma così ingente.

Ma, soprattutto, ancora una volta si rinuncia a imparare dagli errori e dal riflettere seriamente sulla situazione penosa della sicurezza cyber in Italia, probabilmente senza neanche rendersi conto del ridicolo a si espone una realtà importante come Poste Italiane con simili accadimenti.


La foto di copertina è stata scattata nel centro storico di Sperlonga (LT)

Hai trovato utile questo articolo?

Questo articolo è stato visto 116 volte (Oggi 1 visite)
Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.