Sta circolando nelle ultime settimane (agosto 2014) un nuovo metodo di truffa online (scam) che si basa sull’invio di fatture modificate.
La frode viene attuata intercettando un’email con fattura allegata. Il documento (anche PDF) viene modificato nei dati di pagamento inserendo come beneficiario un conto bancario, spesso estero, che fa riferimento al truffatore. Il documento modificato viene poi allegato ad una e-mail uguale a quella originale, dove viene indicata una scusa per giustificare la variazione dei dati di pagamento.
Occorre quindi prestare molta attenzione se si ricevono due e-mail ravvicinate in cui viene indicata una variazione di pagamento. In questi casi sarebbe opportuno accertarsi telefonicamente che la variazione sia reale, e non quindi un tentativio di frode.
La truffa è molto elaborata, ma la sua realizzazione relativamente semplice.
Abbiamo scoperto un caso di questo tipo presso un nostro cliente, ve ne illustriamo i dettagli.
La situazione è questa: il Fornitore A invia un’e-mail al Cliente B con la fattura allegata ed un determinato tipo di pagamento. Alcuni minuti dopo il Cliente B riceve una seconda e-mail dove viene richiesto il pagamento verso la filiale inglese (ovviamente inesistente) anziché al conto riportato nel documento precedente.
Come detto in precedenza l’e-mail è pressoché identica a quella originale: i caratteri del testo, la firma, mittente e destinatari. In questo modo è praticamente impossibile stabilirne l’illegittimità. Per evitare che l’e-mail venga considerata spam dai sistemi di posta, l’invio viene effettuato tramite un mailserver con autenticazione.
Nel caso l’e-mail fosse destinata a più persone, al fine di evitare che la nuova fattura venga “vista” da troppe persone, l’indirizzo del secondo destinatario viene modificato. Semplicemente sostituendo una lettera dell’indirizzo (nel dominio, ovviamente) diventa infatti difficile accorgersi dell’errore. Per esempio si potrebbe vedere il dominio @cosedabere.it trasformato in @cosedebere.it.
Rimane da capire come il truffatore riesca ad entrare in possesso dell’e-mail con la fattura allegata. Molto probabilmente riesce ad entrare in possesso delle credenziali di una delle caselle coinvolte (il mittente o uno de destinatari). Monitorando la casella, non appena si accorge di un’e-mail con allegato o testo contenente la parola fattura o invoice (magari tramite sistemi automatizzati) non gli resta che falsificare il documento (non è complicato usando un strumento di modifica dei PDF).
Come fare ad identificare una truffa di questo tipo? In caso di modifica dei dati di pagamento provvedere ad una conferma telefonica prima del pagamento.
Cosa fare in caso si sia stati coinvolti in una truffa come questa? Richiedere immediatamente una verifica dei log del server alla ricerca di intrusioni o accessi all’esterno della rete aziendale. I server Linux e Zimbra che noi installiamo hanno log di accesso della webmail, ActiveSync, SMTP, POP3 ed IMAP. In ogni caso, anche se non si hanno tracce di intrusione, è bene cambiare le password di posta degli utenti coinvolti nello scambio.
E’ anche utile avvisare la Polizia Postale.
http://it.wikipedia.org/wiki/Scam
Per altre informazioni visitate la sezione del nostro blog.
