Non aprite quella mail …. contromisure suggerite per evitare la "Frode bancaria del falso IBAN"


Nella quasi totalità dei casi di danni, furti e ricatti provenienti dal mondo informatico, i problemi cominciano con una mail. Basta fare l’errore di aprirla e scaricare l’allegato, o cliccare su di un link proposto, per infettare il proprio dispositivo. Anche lavorando da casa, in tempi di pandemia, si scambia la familiarità della propria abitazione con sicurezza e sul fronte digitale non c’è nulla di più sbagliato. Gli ultimi rapporti da parte delle aziende specializzate in cybersecurity, confermano l’aumento delle minacce che arrivano via Web, o meglio sulla casella di posta elettronica. Nove volte su dieci, la trappola è in un messaggio che ha per oggetto alcuni temi ricorrenti: fatture e ordinativi; consegna e tracciabilità dei pacchi; moduli fiscali come gli F24; certificati medici; curriculum vitae; scansioni di documenti. Una tra le minacce ricorrenti è quella della “Frode bancaria del falso IBAN”.

La frode consiste nella modifica delle coordinate IBAN indicate nelle fatture e nelle parcelle. Per contrastare tale rischio, oltre alla imprescindibile formazione di tutti i soggetti coinvolti nell’organizzazione, possono essere utili le seguenti contromisure.


FATTURE RICEVUTE

1. Leggere l'IBAN esclusivamente dal file XML inviato dal SdI;

2. chiedere conferma telefonica dell'IBAN al fornitore;

3. salvare l'IBAN nell’anagrafica del proprio conto online o in un database che sia più che adeguatamente strutturato e protetto;

4. in caso di primo pagamento o variazione dell'IBAN, qualora non sia stato possibile esperire i precedenti passi e se le transazioni sono significative si può adottare la seguente procedura:

- pagare un acconto di 1 euro indicando un codice di conferma nella descrizione del pagamento es. "X123X";

- pagare il saldo solo quando il fornitore comunicherà il codice di conferma.

Ricorrendo i presupposti di significatività del pagamento, attuare la procedura indicata al punto 4 anche quando la fattura viene consegnata in formato cartaceo o trasmessa per e-mail.


FATTURE EMESSE

A) In caso di primo incasso o variazione dell'IBAN: comunicare l'IBAN al cliente anche con un altro canale es. telefono, consegna a mano etc.

B) Indicare una parte dell'IBAN anche in un altro elemento della fattura avendo cura di non inserire una stringa IBAN intera, ma solo una parte (es. specificando i primi e gli ultimi cinque caratteri dell'IBAN con indicazione al cliente di verificare la corrispondenza con il codice IBAN visualizzato per intero)


In via generale evitate di inserire il codice IBAN dell’organizzazione come parte fissa e ricorrente delle proprie e-mail.

In alcuni casi ci sono veri e propri malware che silenziosamente leggono i dati sugli endpoints, ricercano i codici IBAN e li sostituiscono ad insaputa di clienti e fornitori o che intercettano le comunicazioni tra i soggetti (vedi il c.d. “man in the middle”).

Il consiglio è quello di mantenere aggiornati i sistemi operativi dei propri endpoints, installare sempre un antivirus professionale, attivare strumenti di filtro e protezione della propria rete aziendale (p.es. firewall) e definire il “perimetro aziendale” all’interno del quale tutti i soggetti possono operare.


Per ultimo porre la massima attenzione nella formazione, bisogna insegnare a tutti i soggetti che operano nel “perimetro aziendale” a riconoscere i messaggi di phishing, perché ne va della sicurezza dell’organizzazione. Le e-mail malevole sono talmente tante e diversificate che è difficile non cadere in inganno: un corso da solo non è sufficiente.

La sostanza è che le aziende/studi devono sviluppare proattivamente strategie di cybersecurity incentrate sulle persone, che tengano in considerazione sia le minacce generiche, sia quelle peculiari rivolte verso gli obiettivi della propria organizzazione.

Iscriviti alla nostra newsletter per restare in contatto con noi e essere aggiornato.