MAN IN THE MAIL: LEGGERE, INSERIRE O MODIFICARE MESSAGGI SCAMBIATI TRA DUE UTENTI ONLINE
Quello della sicurezza dei dati sul web e nelle comunicazioni tramite posta elettronica è un tema sempre attuale. A ricordarcelo sono, purtroppo, episodi di truffe telematiche che continuano a coinvolgere numerose aziende con danni economici non indifferenti. Un perfetto esempio è dato dalla truffa nota col nome di “Man in the mail”, oggetto di un servizio televisivo mandato in onda il 25 maggio 2015 dal tg satirico Striscia la Notizia.
Come evitare di cadere nella trappola degli hacker? In primo luogo è necessario conoscere e comprendere in che modo la truffa viene attuata, dopodiché è possibile rispondere con misure di sicurezza adeguate. Vediamo esattamente in che modo.
MAN IN THE MAIL, COME FUNZIONA?
“Man in the mail” è una tipologia di truffa informatica che permette, a chi la mette in atto, di leggere, inserire o modificare messaggi scambiati da due utenti via internet, celando ad entrambi la propria presenza. Nel caso specifico che esaminiamo qui ad essere intercettato è lo scambio di e-mail di natura commerciale tra due aziende, un cliente e un fornitore.
Vittime favorite della truffa “man in the mail” sono infatti aziende che operano nel settore dell’import/export e utilizzano la posta elettronica per concludere transazioni commerciali e richiedere pagamenti ai propri clienti. L’obbiettivo finale del truffatore, in questi casi, è dirottare un pagamento consistente verso un conto bancario a lui intestato.
Per raggiungere il suo scopo, in una prima fase, l’intruso si limita ad osservare le comunicazioni e a raccogliere dati (carta intestata, firme dei responsabili, stile di scrittura), in modo da poter impersonare uno dei due soggetti al momento giusto. Quando il momento arriva, il truffatore si inserisce nella conversazione operando una sostituzione di persona e richiede che un pagamento previsto venga effettuato su un conto bancario diverso da quello normalmente utilizzato. Il nuovo conto appartiene ovviamente al truffatore, che una volta recuperata la cifra è pronto per far perdere ogni traccia di sé. La truffa riesce più spesso di quanto non si pensi poiché nel campo dell’import/export, per i motivi più disparati, non è affatto rara la richiesta di un cambio di IBAN da parte di un fornitore.
COME EVITARE LA TRUFFA INFORMATICA?
Le aziende colpite finora dalla truffa “man in the mail” hanno registrato perdite economiche che vanno da alcune migliaia a oltre mezzo milione di euro. Si tratta di uno di quei casi in cui certamente prevenire è meglio che curare.
Per evitare di finire in trappola è bene, anzitutto, prestare sempre la massima attenzione agli indirizzi e-mail da cui provengono messaggi in cui si richiede di effettuare un pagamento su un conto diverso da quello solitamente impiegato. In genere, l’indirizzo di posta utilizzato dai truffatori è molto simile a quello del normale mittente e a cambiare è spesso una sola lettera. Ogni qual volta venga espressa una simile richiesta, bisognerebbe poi verificare attraverso canali alternativi all’e-mail (via telefono o fax) che essa provenga realmente dal proprio fornitore.
Va certamente evitato l’utilizzo di servizi gratuiti di posta elettronica a fini aziendali. Tutte le proprie comunicazioni e i file condivisi in ambito lavorativo andrebbero invece protetti nel rispetto dei più elevati standard di sicurezza.
La firma digitale può rappresentare un valido alleato. Di un documento elettronico firmato digitalmente è infatti possibile garantire l’autenticità (l’identità del sottoscrittore) e l’integrità (la certezza che il documento non sia stato modificato dopo la sua sottoscrizione). Anche il Cloud Storage può rappresentare una buona soluzione per proteggere e condividere in sicurezza i propri dati importanti (vedi articolo).
Sono molte le soluzioni che permettono di sfruttare i vantaggi delle tecnologie digitali garantendo, contemporaneamente, la sicurezza dei dati trattati, ma la risorsa più utile di cui disponiamo restano comunque la conoscenza e la consapevolezza dei rischi, insieme a una giusta dose di prudenza.
16 giugno 2015