skip to main | skip to sidebar
25 commenti

Truffatori online rubano 40 milioni di euro a un’azienda tedesca. Via mail

Ultimo aggiornamento: 2016/09/10 16:30.

Molti sottovalutano la determinazione dei truffatori digitali perché non hanno idea di quanto questi criminali possano essere motivati a investire tempo e risorse per fare una ricognizione digitale di un’azienda, compilarne l’organigramma e scandagliarne le difese. Provo a fare un esempio: bastano 40 milioni di euro come motivazione?

È quello che è successo all’azienda tedesca di cablaggi Leoni AG: come raccontano Tripwire e Softpedia, ha dovuto annunciare pubblicamente un danno economico di questo ammontare causato da una truffa informatica.

Secondo le prime ricostruzioni, a metà agosto scorso la giovane direttrice finanziaria della filiale rumena dell’azienda ha ricevuto una mail falsificata che sembrava provenire dai massimi dirigenti tedeschi della Leoni AG e ordinava il trasferimento di 40 milioni di euro. La mail teneva conto delle procedure interne dell’azienda per l’approvazione e il trasferimento di fondi: i criminali avevano quindi studiato bene la propria vittima, scegliendo l’unica delle quattro fabbriche rumene dell’azienda abilitata ad effettuare trasferimenti di denaro e prendendo di mira specificamente la persona che poteva eseguire un trasferimento così ingente.

I 40 milioni sono stati trasferiti a banche della Repubblica Ceca e da lì si sono volatilizzati. Il caso è ora in mano alle autorità rumene.

L’episodio può essere una buona occasione per riesaminare le procedure aziendali per gli ordini di pagamento: se un singolo dipendente, di qualunque grado, può disporre bonifici per decine di milioni sulla base di una semplice mail, senza alcun controllo incrociato (per esempio una banale telefonata al numero diretto del dirigente che avrebbe inviato la mail), e se i dipendenti non sono al corrente che il mittente di una mail è falsificabile, c’è decisamente qualcosa che non va.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (25)
Vedendo 'sta cosa mi vengono in mente due considerazioni:
1. perché un'azienda dovrebbe annunciare pubblicamente un fatto di questo tipo con conseguente figura di m....
2. alla luce della considerazione precedente, chissà quante hanno subito la stessa truffa e non lo hanno reso pubblico.
Come fanno dei soldi a volatilizzarsi?
Ma dico io è possibile che una "giovane impiegata" abbia la possibilità di disporre bonifici di importi simili?
Delle due l'una: o la Leoni AG regolarmente dispone bonifici da milioni di euro verso banche della Cèchia e quindi tutto è sembrato normale oppure la tipa qui è una executive con evidenti problemi intellettivi (in buona compagnia a quanto pare).

Nelle realtà dove ho avuto modo di lavorare ogni bonifico o pagamento doveva essere vistato dal responsabile in charge of, altro che impiegata.

Bah
Stupendo :D
A parte il fatto che quando è una donna ad architettare un simile scherzo, in generale si trova un servetto della gleba che effettui l'operazione e paghi per intero le conseguenze nel caso le cose vadano male...

...In che modo si è escluso che la dipendente non sia una complice o il capo della banda?
Come fanno dei soldi a volatilizzarsi?

Benzina e fiammiferi?
Concordo con le perplessità espresse da altri. Mi viene da pensare che la storia semplice semplice così come raccontata dalla Leoni in realtà serva da copertura per ben più loschi eventi.
Colpo degno di un Arsenio Lupen III° millennio. Nessun virus o trojan, solo una mail mirata e ben architettata.
Ma spesso le aziende favoriscono queste intrusioni: Recentemente una circolare del capo chiedeva user e password aziendali perchè un tecnico esterno "doveva" cambiare il mio PC (condiviso con altri cinque colleghi).
Gli ho risposto che non se ne parlava nemmeno: essendo i profili conservati nel server aziendale e non nei singoli terminali, bastava copiarsi i propri documenti e poi riversarli nel nuovo PC. Inoltre che era uno spreco di risorse: avevo mantenuto il vecchio PC scattante come il primo giorno.
Inutile dire che il PC l'hanno cambiato lo stesso, e che sono entrato nel mio profilo al primo colpo, con la vecchia password, cambiandola subito dopo.
Perché un'azienda dovrebbe annunciare pubblicamente la truffa?
Beh essendo una AG, ovvero Società per Azioni, ha il dovere di informare gli azionisti (e il fisco, credo) riguardo guadagni e perdite - altrimenti sarebbe difficile spiegare come mai nel bilancio di fine anno 40 milioni di euro si sono volatilizzati...
Enrico gi.elle:
Explobot:
In realtà non è proprio così, forse la frase scritta da Paolo "..una giovane dipendente amministrativa della filiale rumena dell’azienda" potrebbe essere un poco sviante.

In realtà Sofpedia dice: "a young woman working as CFO at Leoni's Bistrita factory was the target of the scam", per cui giovane lo è di sicuro, ma non è proprio la "ingenua giovane dipendente amministrativa" che la frase lascia intendere se ha la qualifica di CFO ...

Sarebbe interessante capire come fanno i truffatori a far sparire le tracce del denaro. Quando i truffatori ritirano i soldi, o comprano beni, dovrebbe sempre essere possibile individuarli. Specialmente se si hanno a disposizione 40 milioni di buoni motivi per farlo... Non si tratta di gente che ruba mille euro ad un pensionato... Magari Paolo potrebbe pubblicare un'indagine in merito a questa cosa.
Nell'azienda dove lavoro per l'acquisto di merce per poche centinaia di euro ci vuole la firma del mio capo, del capo del mio capo, del responsabile degli acquisti e del direttore di stabilimento. Com'è possibile che una sola impiegata possa spostare 40 milioni di euro senza nessuna verifica? Mah.
No Concept, Templaro,

Com'è possibile che una sola impiegata possa spostare 40 milioni di euro senza nessuna verifica?

Prima di tutto, grazie a Templaro di aver chiarito che si tratta di una CFO. Devo spiegarlo meglio nell'articolo, lo aggiorno subito.

In quanto alla mancanza di verifiche: i tuoi capi sono subalterni. Pesci piccoli. Se sei il direttore megagalattico, sei Dio. Sei abituato a ordinare e a vedere che i tuoi ordini vengono eseguiti senza battere ciglio. Nessuno vuole fare brutta figura di fronte al Direttore. Per cui se crede che il Direttore abbia dato un ordine, lo eseguirà. Se qualcuno metterà in dubbio l'ordine, verrà zittito dicendo che è il Direttore che vuole che così si faccia. Vorrà mica fare brutta figura davanti al Direttore per aver intralciato il suo ordine? Vuole davvero interrompere la sessione di golf (o la trombata con l'amante) del Direttore per verificare l'ordine? Tanto chi vuole che ci prenda di mira?

La pensano tutti così, fino al momento in cui vengono presi di mira e bucati da parte a parte. Allora piangono. Ne ho visti tanti. Se vuoi farti un'idea di questi meccanismi fondamentali del social engineering, leggi i libri di Kevin Mitnick. Sono un buon punto di partenza. Il resto viene con l'esperienza sul campo, che ti fa scoprire cose che Mitnick non potrebbe mai pubblicare :-)
Ale,

Sarebbe interessante capire come fanno i truffatori a far sparire le tracce del denaro... Magari Paolo potrebbe pubblicare un'indagine in merito a questa cosa.

Quello che posso pubblicare l'ho già pubblicato: per esempio, le offerte di "operatori finanziari" a chi non ha esperienza, lavoro semplice da fare da casa, eccetera, sono legate a una di queste tecniche. Ci sono molti altri metodi, ma non mi sembra il caso di dettagliarli pubblicamente. Dico solo che sono molto più semplici e molto meno informatici di quello che si potrebbe pensare.
Explobot,

Mi viene da pensare che la storia semplice semplice così come raccontata dalla Leoni in realtà serva da copertura per ben più loschi eventi.

Capisco il sospetto, ma nella mia esperienza di solito ci sono di mezzo solo l'ingenuità e il senso d'invulnerabilità; la complicità interna è rara. Eccezione recentissima: Wells Fargo. Ma questa è un'altra storia (disperazione interna, non attacco dall'esterno).
Se era una direttrice finanziaria era tutto un altro paio di maniche.

Perché il discorso della partita a golf del super mega direttore galattico che fai non è mica giusto: in un'azienda seria nessun impiegato (tranne proprio forse il direttore finanziiario) può muovere milioni di euro senza nessuna verifica o controfirma.
No Concept,

in un'azienda seria nessun impiegato (tranne proprio forse il direttore finanziiario) può muovere milioni di euro senza nessuna verifica o controfirma.

Sicuro? Potrei elencarti un bel po' di aziende che reputeresti serissime ma nelle quali questo avviene con estrema disinvoltura, ma sono vincolato dal segreto professionale.
No Concept,

"..nessun impiegato (tranne proprio forse il direttore finanziario) può muovere milioni di euro senza nessuna verifica o controfirma.."

se leggi bene l'articolo di Softpedia, scrivono che: "Investigators say the email was crafted in such a way to take into account Leoni's internal procedures for approving and transferring funds"

..quindi probabilmente un meccanismo di "verifiche o controfirme" esiste anche alla Leoni AG, ma queste sono state prese in considerazione e falsificate da questi malefici ma geniali truffatori.

Semmai alla luce dei fatti è pacifico affermare che tali meccanismi "non sono adeguati" .....
"scandargliarne" --> scandagliarne
..quindi probabilmente un meccanismo di "verifiche o controfirme" esiste anche alla Leoni AG, ma queste sono state prese in considerazione e falsificate da questi malefici ma geniali truffatori.


Forse dovrebbero imparare ad usare le PEC e/o i documenti firmati digitalmente anche all'estero? :)
ci saranno state procedure e i truffatori sicuramente le devono aver studiate bene ma senza l'aiuto di qualcuno all'interno come potevano essere sicuri di averle replicate bene?

e poi una semplice telefonata di conferma prima di spostare 40 milioni di euro non sarebbe bastata a sventare la truffa?
@Sbronzo
e poi una semplice telefonata di conferma prima di spostare 40 milioni di euro non sarebbe bastata a sventare la truffa?
sicuramente, ma ci sono dirigenti che ti trattano male solo per il fatto di aver osato rivolger loro la parola...
@Sbronzo di riace

Laddove vige realmente "la riga gialla", non solo oltrepassare "la riga gialla" è la più grave delle infrazioni, ma qualsiasi danno provocato dall'aver rispettato "la riga gialla" è perdonato all'istante.

Non capisco bene come funzioni e come ci si faccia i $oldi, ma se quelli che i $oldi li hanno la usano, probabilmente ha dei vantaggi che loro capiscono ed io no.

Non so come si traduce in italiano, la riga gialla rappresenta il concetto per il quale ogni dipendente ha un insieme di compiti e responsabilità, e l'assoluto divieto di farsi carico spontaneamente di lavoro che esuli dai compiti assegnatigli.
puffolottiaccident
Non so come si traduce in italiano, la riga gialla rappresenta il concetto per il quale ogni dipendente ha un insieme di compiti e responsabilità, e l'assoluto divieto di farsi carico spontaneamente di lavoro che esuli dai compiti assegnatigli.

Legalismo?
@Faber

Non direi.
Ci vedo un legame solo nel senso che entrambe le cose sono legate al mantenimento della disciplina, ma certi ambienti di lavoro si aspettano che disciplina ed assiduità siano date per scontate da ognuno dei dipendenti, e mantengono la situazione evitando di assumere chi le considera secondarie, e ricorrendo a quello che le cicale potrebbero vedere come mobbing durante il periodo di prova allo scopo di selezionare persone disciplinate.

Ambienti simili però non vedranno mai 40M€ (intesi come 2000 camion di riso equivalenti.) in un colpo solo o in un anno.