Scopri come funziona l’attacco dell’IBAN modificato e quali controlli fare per proteggerti da questa frode sempre più diffusa
Negli ultimi anni si è diffusa una truffa informatica che, nonostante le campagne di informazione, continua a dimostrarsi spesso efficace: l’IBAN modificato nelle email. Vittime principali sono aziende, liberi professionisti, ma anche clienti privati che ricevono regolarmente richieste di pagamento da fornitori, consulenti o imprese, quindi abituati a dover utilizzare codici IBAN comunicati via email per effettuare versamenti di denaro.
Come funziona la truffa dell’IBAN modificato via email?
Cos’è un attacco “man in the middle”?
Come proteggersi da questo tipo di truffa?
In caso di truffa, cosa fare?
Come funziona la truffa dell’IBAN modificato via email?
Il primo passaggio consiste nell’intercettazione della corrispondenza del mittente o del destinatario. La modalità più comune con cui un criminale informatico intercetta la corrispondenza tra due parti è un attacco man in the middle (MITM). In pratica, si “infila” nella comunicazione tra mittente e destinatario, alterando i messaggi, in particolare il documento o la parte dove viene indicato l’IBAN su cui effettuare il bonifico.
Il truffato, ignaro, effettua il pagamento su un conto corrente fasullo intestato al truffatore. Quando l’errore viene scoperto, è spesso troppo tardi: il denaro è già sparito, magari trasferito su altri conti o all’estero.
Cos’è un attacco “man in the middle”?
Il termine “man in the middle” significa, letteralmente, “uomo nel mezzo”. Si tratta di un tipo di attacco informatico in cui un terzo soggetto si inserisce tra due interlocutori (es. cliente e fornitore) per intercettare o manipolare i messaggi che si scambiano, senza che nessuno dei due se ne accorga.
Questo può avvenire:
- mediante compromissione della casella email del mittente o del destinatario, principalmente tramite phishing, installazione di malware infostealer nel computer di una delle parti, uso di password deboli o utilizzate per più account/servizi senza utilizzo dell’autenticazione a due fattori 2FA, utilizzo di credenziali social per il login senza utilizzo dell’autenticazione a due fattori 2FA.
- sfruttando reti Wi-Fi pubbliche non protette
Una volta ottenute le credenziali di accesso al servizio di posta elettronica, se l’utente vittima non ha attivato l’autenticazione a due fattori, il truffatore può riuscire ad accedere alla casella email della vittima senza attivare sistemi di allarme, in quanto conosce le credenziali corrette e solitamente prepara l’attacco scoprendo anche da dove si connette la vittima, simulando la stessa provenienza geografica dell’accesso.
A questo punto il truffatore si prende il tempo di studiarsi la corrispondenza aspettando il momento giusto per intervenire, ad esempio quando arriva una fattura da pagare, e sostituisce l’IBAN con quello di un conto sotto il suo controllo.
Come proteggersi da questo tipo di truffa?
-Verifica sempre l’IBAN
Se effettui pagamenti sistematici a fornitori o altri soggetti, verifica sempre che l’IBAN che stai inserendo corrisponda con l’ultimo utilizzato per pagamenti allo stesso soggetto e se non corrisponde o se ricevi un’email con una richiesta di pagamento ad un IBAN nuovo, contatta il mittente con un altro canale (telefono, messaggio, PEC) e chiedi conferma.
Non fidarti di queste richieste via email e usa un secondo canale di verifica, anche se sembrano legittime.
-Usa antivirus / strumenti di endpont protection e sistemi aggiornati
Mantieni aggiornato il tuo sistema operativo, l’antivirus e i software di posta elettronica. In particolare, i malware di tipo infostealer, sempre più diffusi ed utilizzati per questo tipo di attacchi, operano in modo subdolo rimanendo silenti e molto difficilmente individuabili perché non interferiscono con il funzionamento del computer ma si attivano non appena l’utente utilizza siti web o form specifiche per inserire credenziali, le memorizzano ed inviano all’esterno, spesso in vendita nel darkweb, in maniera invisibile all’utente.
-Proteggi il tuo account di posta elettronica
I punti deboli più sfruttati dai criminali informatici non sono le vulnerabilità del servizio ma una inadeguata gestione della sicurezza delle credenziali di accesso e dei dispositivi da parte degli utenti
- Usa password complesse e diverse per ogni servizio
- Proteggi la configurazione del tuo account di posta elettronica attivando l’autenticazione a due fattori 2FA sul tuo Pannello di Controllo dei servizi Register
- Evita di cliccare su link sospetti o allegati non attesi
- Non memorizzare le credenziali di accesso nel browser, usa un password manager
- Evita di utilizzare login con credenziali social se su queste ultime non hai attivato l’autenticazione a due fattori 2FA
-Controlla le intestazioni e i contenuti delle email
Prima di tutto, non fidarti mai ciecamente di ciò che appare nell’intestazione dell’email: spesso è lì che inizia l’inganno.
- Controlla tutto l’indirizzo del mittente, non solo il nome visualizzato nell’intestazione
- Fai attenzione ai domini simili a domini noti ma fraudolenti: info@dominio.com è diverso ed info@dom1nio.com e da info@dominio-support.com.
- In caso di dubbio, cerca il dominio su Google o sul sito ufficiale che conosci.
-Controlla il contenuto del messaggio
Anche il testo dell’email può rivelare segnali di truffa: analizzalo con attenzione per cogliere eventuali anomalie o pressioni indebite.
- Tono urgente che genera allarme per emergenze e chiede di intervenire effettuando un accesso : “Agisci subito, o perderai l’accesso”
- Segnalazioni generiche di problemi sull’accont : “Gentile cliente, abbiamo rilevato un problema sul tuo account”
- Richieste di effettuare login cliccando direttamente su link presenti nell’email piuttosto che invitare ad accedere al proprio account tramite il sito/portale web dedicato (senza link nell’email)
- Richieste insolite quale cambio IBAN, invio credenziali, clic su link per “verificare l’identità”
- Errori grammaticali, anomalie da traduzioni automatiche, o un tono atipico per il tipo di comunicazione
- Richieste via email come password, PIN, credenziali bancarie o codici OTP
Questi sono tutti chiari indicatori di campagne di phishing o di attività fraudolente.
-Controlla link e pulsanti
Un semplice passaggio del mouse può svelare se il link è autentico o nasconde un indirizzo malevolo. Non cliccare mai alla leggera.
- Passa il mouse sopra il link (senza cliccare!) e guarda l’URL reale in basso nel browser.
- Evita link abbreviati (tipo bit.ly) o con domini strani/non ufficiali.
-Controlla gli allegati
Gli allegati possono sembrare innocui, ma spesso sono il veicolo preferito per installare malware. Serve un occhio vigile (e un buon antivirus!).
- Attenzione ad allegati sospetti o inattesi (es. .zip, .exe, .html, .js, .scr) perché possono contenere malware. Disabilitate il download automatico degli allegati e se ritenete che l’allegato possa esser valido effettuate comunque una scansione antivirus prima di aprirlo
- Anche i PDF e i documenti Word possono contenere o veicolare malware..
Leggi anche “Domini .zip e .mov e i rischi per la sicurezza“
-Controlla firma e contatti
Firma e recapiti possono sembrare corretti a prima vista, ma un controllo in più può fare la differenza per evitare brutte sorprese.
- Verifica se la firma e i relativi contatti in essa sono coerenti con quelli che ti aspetti da quell’azienda o persona.
- Controlla sul web se ci sono numeri di telefono, indirizzi o link di contatto ufficiali.
-Controlla gli header dell’email
Questo tipo di verifica richiede maggiori competenze tecniche.
È possibile usare funzioni o strumenti per leggere gli header delle email e verificare in essi per vedere il vero server di invio, al fine di scoprire email abilmente falsificate (Spoofing) controllando campi quali:
- Return-Path
- Received
- DKIM
- SPF
- DMARC
Leggi anche “DNS Spoofing. Cos’è e come difendersi“
In caso di truffa, cosa fare?
Se ti accorgi di aver effettuato un bonifico su un conto truffaldino, agisci immediatamente:
- Contatta la tua banca per tentare il blocco o il richiamo del bonifico
- Sporgi denuncia alla Polizia Postale o ai Carabinieri
- Avvisa il fornitore o la controparte, potrebbe essere anch’essa vittima
Fidarsi è bene, verificare è fondamentale. La truffa dell’IBAN modificato è subdola e colpisce anche i più attenti. Per questo è fondamentale sviluppare buone abitudini di verifica e protezione, soprattutto quando si effettuano pagamenti o si ricevono richieste via email.
Prevenire è sempre meglio che recuperare: un controllo in più può salvarti da una perdita economica importante.
CISO Southern Europe team.blue. Si occupa di Sviluppo, implementazione e mantenimento di politiche e programmi di gestione della compliance e della sicurezza aziendale.
