Fatture compromesse e bonifici fraudolenti

Oggi mi è capitato di osservare per la seconda volta lo stesso “modus operandi” che aveva come modalità la comunicazione di una fattura con coordinate bancarie false tra fornitore e cliente.

A seguito di una nuova segnalazione di violazione dei processi di pagamento da parte di un'azienda di mia conoscenza, sono venuto a sapere di un secondo (a me noto - non ho idea su scala nazionale) incidente informatico con la stessa modalità di azione.

Quello che accade è quanto segue: un’azienda fornitrice di servizi invia le proprie fatture via e-mail. Il cliente finale la valida e la verifica, tuttavia poco dopo riceve un’altra comunicazione nella quale viene detto di verificare poiché la precedente comunicazione conteneva una coordinata IBAN errata. In allegato alla nuova e-mail è presente un’immagine con al suo interno la fattura originale ma le coordinate bancarie corrette. Il file dell’immagine non è altro che la fattura originale (generalmente in PDF) ritoccata e nella quale è stato incollato il trafiletto con le coordinate bancarie alterate.

Nel primo caso che ho avuto occasione di analizzare, il tutto è stato ricondotto ad una debolezza nelle credenziali di posta del gestore che ha consentito al malintenzionato di creare un inoltro di tutte le e-mail ricevute dall’azienda colpita. Le successive comunicazioni venivano inviate tramite un altro gestore con una e-mail che con quella aziendale non aveva nulla a che vedere (nel primo caso, @gmail.com).

In entrambi i casi la modalità operativa descritta è identica. In entrambi i casi, dall’analisi delle intestazioni dei messaggi, abbiamo avuto modo di appurare che le e-mail non partivano dal sistema di posta del mittente ma da un indirizzo IP che – secondo i registri di Internet – ha come origine la Nigeria. In entrambi i casi abbiamo avuto anche modo di appurare – sebbene questa possa essere una mera congettura – che si trattava di bonifici effettuati a mezzo SWIFT e non SEPA. A seguito di una riflessione un po' più lunga e ad ampio spettro, posso anche dire che le due aziende svolgono un'attività abbastanza similare tra di loro (pur non essendo tra di loro collegate).

Pur non trattandosi di una violazione diretta del sistema informativo dell'azienda, bensì nel primo caso del gestore di posta in cloud, nel secondo caso invece le analisi sono ancora in corso, il fatto che nel giro ristretto di clienti che gestiamo siano capitati due incidenti analoghi fa pensare che questo fenomeno possa ampliarsi ulteriormente.