A raccontarla così sembra essere la storia di una mera disattenzione di un impiegato di Poste Italiane (negli uffici centrali) che ha provveduto al pagamento nei confronti di un destinatario diverso. In realtà si tratta di una truffa in piena regola, condotta attraverso le modalità di quello che – in gergo tecnico – si chiama “attacco Bec” (Business email compromise). Il tutto ha portato al pagamento di una “fattura” da 5 milioni di euro che doveva essere destinata a Microsoft e che, invece, sono finiti nelle mani (sui conti e nelle tasche) di alcuni criminali informatici.
LEGGI ANCHE > Che tipo di reato è quello di accesso abusivo a un sistema informatico?
Tutto ciò non è avvenuto di recente. L’episodio, infatti, risale addirittura al 14 aprile del 2017. A distanza di cinque anni e mezzo, però, gli specialisti della Polizia postale non sono ancora riusciti né a individuare i responsabili di questa truffa, né i soldi. E tutto è avvenuto con una banale mail inviata agli uffici centrali delle Poste Italiane, l’ultimo passaggio di questo attacco Bec. Per sintetizzare: il responsabile dei pagamenti degli uffici centrali delle Poste ricevette una mail che chiedeva di saldare il pagamento di una rata verso un nuovo Iban.
Si trattava di un contratto di acquisizione di terminali e altri sistemi applicativi con Microsoft. E quella mail non aveva destato preoccupazione: i truffatori, infatti, avevano inviato quella comunicazione con una modifica quasi impercettibile. Il dominio dell’indirizzo era @mlcrosoft e non @microsoft. Quella “l” minuscola al posto della “i” minuscola che non ha permesso all’addetto di capire la truffa. E la rata era da 5 milioni di euro, pagata nei confronti dell’Iban comunicato attraverso la mail truffaldina.
Da quel giorno, quei 5 milioni di euro sono spariti nel nulla. Microsoft non li ha – ovviamente – ricevuti, ma dalle casse delle Poste Italiane sono usciti. E questa strategia ha un nome specifico: attacco Bec. Si tratta di una tecnica molto diffusa si Business email compromise che il sito ufficiale di IBM spiega così: «I Business email Compromise, o semplicemente BEC, sono schemi di attacco che mirano a trarre in inganno i dipendenti di un’azienda, inducendoli ad autorizzare o effettuare pagamenti fraudolenti per beni o servizi verso conti fittizi riconducibili a gruppi di cyber criminali». Non si tratta, dunque, di una casualità.
Dietro a un attacco Bec c’è uno studio da parte dei pirati informatici. E il caso di Poste Italiane ne è l’emblema. A differenza del phishing – dove spesso le mail sono inviate in modo random alle possibili vittime -, c’è un substrato che porta alla possibilità di un’offensiva simile. Perché chi ha inviato quella comunicazione truffa aveva sicuramente compromesso i sistemi di comunicazione interna ed esser venuto a conoscenza di quelle fatture da pagare, di quel contratto sottoscritto per l’acquisizione e il pagamento rateale di prodotti Microsoft. Quindi, le mail aziendali erano state compromesse, come da principio di questa offensiva informatica.