Truffe 2.0: gli attacchi di social engineering. Il caso Tecnimont
Il social engineering è una pratica sempre più diffusa. A cascare in truffe organizzate sono anche multinazionali: il caso Tecnimont.
Ti sarà sicuramente capitato di leggere in rete dei sempre più frequenti attacchi di social engineering. Ma cosa significa questo termine? Si tratta di azioni tendenzialmente criminali poste in essere da chi si finge un’altra persona per riuscire ad ottenere informazioni, che difficilmente otterrebbe con la propria reale identità.
Queste condotte sono oggi perpetrate soprattutto da soggetti che violano account di posta privati o aziendali, per dare false indicazioni circa bonifici da effettuarsi a loro favore.
Social Engineering: il caso Tecnimont
Caso eclatante quello di Tecnimont s.p.a.: una semplice mail proveniente in apparenza da un superiore che ordina un bonifico, banalmente artefatta con una lettera in più o in meno nell’indirizzo, e tuttavia presa sul serio. Talmente sul serio che quasi 17 milioni di dollari di una multinazionale italiana, colosso dell’impiantistica, quotata alla Borsa di Milano, si sono volatilizzati in un attimo.
Un astuto social engineer si sostituisce e scrive dall’apparente posta elettronica dell’amministratore delegato di Tecnimont s.p.a.. Ordina ad un manager di uno stabilimento in India tre bonifici all’estero per 18,6 milioni di dollari da eseguire in Cina, necessari per concludere una grandissima acquisizione da trattare nella massima riservatezza.
Dopo ben 9 giorni la truffa viene smascherata. In ritardo ormai per poter ottenere dalle autorità cinesi il blocco, anche solo di una parte del denaro bonificato.
Ma non finisce qui.
Negli stessi giorni un manager della Tecnimont Arabia Ltd si vede ordinare, in apparenza da una mail del direttore finanziario della capogruppo Maire Tecnimont s.p.a. (peccato che l’indirizzo mail fosse però senza la «i», «Mare Tecnimont»), la restituzione di 5 milioni di un finanziamento infra-gruppo.
Il bonifico viene regolarmente disposto, ed anche in questo caso il denaro si volatilizza prima della scoperta del danno. Si riesce a recuperare solo una piccola somma.
Ti interessa sapere come si sia conclusa questa triste vicenda? Nel peggiore dei modi, purtroppo.
L’azienda, oltre ad avviare un procedimento disciplinare interno, ha prontamente tentato la strada della denuncia alla Procura della Repubblica di Milano.
Tuttavia la richiesta di sequestro conservativo dei residui soldi bloccati del pm Barilli è stata respinta “per difetto di giurisdizione“: nessun segmento delle condotte criminose si è svolto in Italia, ma tutte sono avvenute all’estero, verso l’estero.
Non voglio assolutamente instillare terrore e dubbi. Questa storia ci porta però a riflettere sullo scarsissimo valore che in Italia ancora viene attribuito alla formazione dei dipendenti sul profilo della privacy, del rispetto del GDPR e della IT Security, quando la normativa europea sancisce un vero e proprio obbligo formativo a carico del titolare del trattamento dati.
Sembra a tutti inutile organizzare corsi sul tema poco approfonditi, tenuti da insegnanti scarsamente qualificati, posto che queste truffe sono oramai all’ordine del giorno.
Occorre invece che nel nostro paese si proceda ad una riflessione seria sulla cyber-criminalità organizzata. Si inizi ad investire sull’aggiornamento e l’istruzione del personale che, per scongiurare questo tipo di reati, dovrà essere sempre più esperto e qualificato.
Potrebbe interessarti anche Smart Traineeship: Formazione smart, generale o specifica?
Truffe 2.0: gli attacchi di social engineering. Il caso Tecnimont