skip to main | skip to sidebar
30 commenti

Truffatori online rubano 40 milioni di euro a un’azienda tedesca. Via mail

Ultimo aggiornamento: 2016/09/10 16:30.

Molti sottovalutano la determinazione dei truffatori digitali perché non hanno idea di quanto questi criminali possano essere motivati a investire tempo e risorse per fare una ricognizione digitale di un’azienda, compilarne l’organigramma e scandagliarne le difese. Provo a fare un esempio: bastano 40 milioni di euro come motivazione?

È quello che è successo all’azienda tedesca di cablaggi Leoni AG: come raccontano Tripwire e Softpedia, ha dovuto annunciare pubblicamente un danno economico di questo ammontare causato da una truffa informatica.

Secondo le prime ricostruzioni, a metà agosto scorso la giovane direttrice finanziaria della filiale rumena dell’azienda ha ricevuto una mail falsificata che sembrava provenire dai massimi dirigenti tedeschi della Leoni AG e ordinava il trasferimento di 40 milioni di euro. La mail teneva conto delle procedure interne dell’azienda per l’approvazione e il trasferimento di fondi: i criminali avevano quindi studiato bene la propria vittima, scegliendo l’unica delle quattro fabbriche rumene dell’azienda abilitata ad effettuare trasferimenti di denaro e prendendo di mira specificamente la persona che poteva eseguire un trasferimento così ingente.

I 40 milioni sono stati trasferiti a banche della Repubblica Ceca e da lì si sono volatilizzati. Il caso è ora in mano alle autorità rumene.

L’episodio può essere una buona occasione per riesaminare le procedure aziendali per gli ordini di pagamento: se un singolo dipendente, di qualunque grado, può disporre bonifici per decine di milioni sulla base di una semplice mail, senza alcun controllo incrociato (per esempio una banale telefonata al numero diretto del dirigente che avrebbe inviato la mail), e se i dipendenti non sono al corrente che il mittente di una mail è falsificabile, c’è decisamente qualcosa che non va.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (30)
Vedendo 'sta cosa mi vengono in mente due considerazioni:
1. perché un'azienda dovrebbe annunciare pubblicamente un fatto di questo tipo con conseguente figura di m....
2. alla luce della considerazione precedente, chissà quante hanno subito la stessa truffa e non lo hanno reso pubblico.
Come fanno dei soldi a volatilizzarsi?
Ma dico io è possibile che una "giovane impiegata" abbia la possibilità di disporre bonifici di importi simili?
Delle due l'una: o la Leoni AG regolarmente dispone bonifici da milioni di euro verso banche della Cèchia e quindi tutto è sembrato normale oppure la tipa qui è una executive con evidenti problemi intellettivi (in buona compagnia a quanto pare).

Nelle realtà dove ho avuto modo di lavorare ogni bonifico o pagamento doveva essere vistato dal responsabile in charge of, altro che impiegata.

Bah
Stupendo :D
A parte il fatto che quando è una donna ad architettare un simile scherzo, in generale si trova un servetto della gleba che effettui l'operazione e paghi per intero le conseguenze nel caso le cose vadano male...

...In che modo si è escluso che la dipendente non sia una complice o il capo della banda?
Come fanno dei soldi a volatilizzarsi?

Benzina e fiammiferi?
Concordo con le perplessità espresse da altri. Mi viene da pensare che la storia semplice semplice così come raccontata dalla Leoni in realtà serva da copertura per ben più loschi eventi.
Colpo degno di un Arsenio Lupen III° millennio. Nessun virus o trojan, solo una mail mirata e ben architettata.
Ma spesso le aziende favoriscono queste intrusioni: Recentemente una circolare del capo chiedeva user e password aziendali perchè un tecnico esterno "doveva" cambiare il mio PC (condiviso con altri cinque colleghi).
Gli ho risposto che non se ne parlava nemmeno: essendo i profili conservati nel server aziendale e non nei singoli terminali, bastava copiarsi i propri documenti e poi riversarli nel nuovo PC. Inoltre che era uno spreco di risorse: avevo mantenuto il vecchio PC scattante come il primo giorno.
Inutile dire che il PC l'hanno cambiato lo stesso, e che sono entrato nel mio profilo al primo colpo, con la vecchia password, cambiandola subito dopo.
Perché un'azienda dovrebbe annunciare pubblicamente la truffa?
Beh essendo una AG, ovvero Società per Azioni, ha il dovere di informare gli azionisti (e il fisco, credo) riguardo guadagni e perdite - altrimenti sarebbe difficile spiegare come mai nel bilancio di fine anno 40 milioni di euro si sono volatilizzati...
Enrico gi.elle:
Explobot:
In realtà non è proprio così, forse la frase scritta da Paolo "..una giovane dipendente amministrativa della filiale rumena dell’azienda" potrebbe essere un poco sviante.

In realtà Sofpedia dice: "a young woman working as CFO at Leoni's Bistrita factory was the target of the scam", per cui giovane lo è di sicuro, ma non è proprio la "ingenua giovane dipendente amministrativa" che la frase lascia intendere se ha la qualifica di CFO ...

Sarebbe interessante capire come fanno i truffatori a far sparire le tracce del denaro. Quando i truffatori ritirano i soldi, o comprano beni, dovrebbe sempre essere possibile individuarli. Specialmente se si hanno a disposizione 40 milioni di buoni motivi per farlo... Non si tratta di gente che ruba mille euro ad un pensionato... Magari Paolo potrebbe pubblicare un'indagine in merito a questa cosa.
Nell'azienda dove lavoro per l'acquisto di merce per poche centinaia di euro ci vuole la firma del mio capo, del capo del mio capo, del responsabile degli acquisti e del direttore di stabilimento. Com'è possibile che una sola impiegata possa spostare 40 milioni di euro senza nessuna verifica? Mah.
No Concept, Templaro,

Com'è possibile che una sola impiegata possa spostare 40 milioni di euro senza nessuna verifica?

Prima di tutto, grazie a Templaro di aver chiarito che si tratta di una CFO. Devo spiegarlo meglio nell'articolo, lo aggiorno subito.

In quanto alla mancanza di verifiche: i tuoi capi sono subalterni. Pesci piccoli. Se sei il direttore megagalattico, sei Dio. Sei abituato a ordinare e a vedere che i tuoi ordini vengono eseguiti senza battere ciglio. Nessuno vuole fare brutta figura di fronte al Direttore. Per cui se crede che il Direttore abbia dato un ordine, lo eseguirà. Se qualcuno metterà in dubbio l'ordine, verrà zittito dicendo che è il Direttore che vuole che così si faccia. Vorrà mica fare brutta figura davanti al Direttore per aver intralciato il suo ordine? Vuole davvero interrompere la sessione di golf (o la trombata con l'amante) del Direttore per verificare l'ordine? Tanto chi vuole che ci prenda di mira?

La pensano tutti così, fino al momento in cui vengono presi di mira e bucati da parte a parte. Allora piangono. Ne ho visti tanti. Se vuoi farti un'idea di questi meccanismi fondamentali del social engineering, leggi i libri di Kevin Mitnick. Sono un buon punto di partenza. Il resto viene con l'esperienza sul campo, che ti fa scoprire cose che Mitnick non potrebbe mai pubblicare :-)
Ale,

Sarebbe interessante capire come fanno i truffatori a far sparire le tracce del denaro... Magari Paolo potrebbe pubblicare un'indagine in merito a questa cosa.

Quello che posso pubblicare l'ho già pubblicato: per esempio, le offerte di "operatori finanziari" a chi non ha esperienza, lavoro semplice da fare da casa, eccetera, sono legate a una di queste tecniche. Ci sono molti altri metodi, ma non mi sembra il caso di dettagliarli pubblicamente. Dico solo che sono molto più semplici e molto meno informatici di quello che si potrebbe pensare.
Explobot,

Mi viene da pensare che la storia semplice semplice così come raccontata dalla Leoni in realtà serva da copertura per ben più loschi eventi.

Capisco il sospetto, ma nella mia esperienza di solito ci sono di mezzo solo l'ingenuità e il senso d'invulnerabilità; la complicità interna è rara. Eccezione recentissima: Wells Fargo. Ma questa è un'altra storia (disperazione interna, non attacco dall'esterno).
Se era una direttrice finanziaria era tutto un altro paio di maniche.

Perché il discorso della partita a golf del super mega direttore galattico che fai non è mica giusto: in un'azienda seria nessun impiegato (tranne proprio forse il direttore finanziiario) può muovere milioni di euro senza nessuna verifica o controfirma.
No Concept,

in un'azienda seria nessun impiegato (tranne proprio forse il direttore finanziiario) può muovere milioni di euro senza nessuna verifica o controfirma.

Sicuro? Potrei elencarti un bel po' di aziende che reputeresti serissime ma nelle quali questo avviene con estrema disinvoltura, ma sono vincolato dal segreto professionale.
No Concept,

"..nessun impiegato (tranne proprio forse il direttore finanziario) può muovere milioni di euro senza nessuna verifica o controfirma.."

se leggi bene l'articolo di Softpedia, scrivono che: "Investigators say the email was crafted in such a way to take into account Leoni's internal procedures for approving and transferring funds"

..quindi probabilmente un meccanismo di "verifiche o controfirme" esiste anche alla Leoni AG, ma queste sono state prese in considerazione e falsificate da questi malefici ma geniali truffatori.

Semmai alla luce dei fatti è pacifico affermare che tali meccanismi "non sono adeguati" .....
"scandargliarne" --> scandagliarne
..quindi probabilmente un meccanismo di "verifiche o controfirme" esiste anche alla Leoni AG, ma queste sono state prese in considerazione e falsificate da questi malefici ma geniali truffatori.


Forse dovrebbero imparare ad usare le PEC e/o i documenti firmati digitalmente anche all'estero? :)
ci saranno state procedure e i truffatori sicuramente le devono aver studiate bene ma senza l'aiuto di qualcuno all'interno come potevano essere sicuri di averle replicate bene?

e poi una semplice telefonata di conferma prima di spostare 40 milioni di euro non sarebbe bastata a sventare la truffa?
@Sbronzo
e poi una semplice telefonata di conferma prima di spostare 40 milioni di euro non sarebbe bastata a sventare la truffa?
sicuramente, ma ci sono dirigenti che ti trattano male solo per il fatto di aver osato rivolger loro la parola...
@Sbronzo di riace

Laddove vige realmente "la riga gialla", non solo oltrepassare "la riga gialla" è la più grave delle infrazioni, ma qualsiasi danno provocato dall'aver rispettato "la riga gialla" è perdonato all'istante.

Non capisco bene come funzioni e come ci si faccia i $oldi, ma se quelli che i $oldi li hanno la usano, probabilmente ha dei vantaggi che loro capiscono ed io no.

Non so come si traduce in italiano, la riga gialla rappresenta il concetto per il quale ogni dipendente ha un insieme di compiti e responsabilità, e l'assoluto divieto di farsi carico spontaneamente di lavoro che esuli dai compiti assegnatigli.
puffolottiaccident
Non so come si traduce in italiano, la riga gialla rappresenta il concetto per il quale ogni dipendente ha un insieme di compiti e responsabilità, e l'assoluto divieto di farsi carico spontaneamente di lavoro che esuli dai compiti assegnatigli.

Legalismo?
@Faber

Non direi.
Ci vedo un legame solo nel senso che entrambe le cose sono legate al mantenimento della disciplina, ma certi ambienti di lavoro si aspettano che disciplina ed assiduità siano date per scontate da ognuno dei dipendenti, e mantengono la situazione evitando di assumere chi le considera secondarie, e ricorrendo a quello che le cicale potrebbero vedere come mobbing durante il periodo di prova allo scopo di selezionare persone disciplinate.

Ambienti simili però non vedranno mai 40M€ (intesi come 2000 camion di riso equivalenti.) in un colpo solo o in un anno.
Ecco come NON impariamo dagli errori http://www.ilfattoquotidiano.it/2017/10/01/truffe-online-il-mistero-dei-500mila-euro-persi-da-confindustria/3888178/
Aspetto la declinazione all'italiana del fatto: società di comodo tenute a galla da denaro sporco che con un singolo attacco informatico passano come vittime. Nel frattempo i soldi sono già nelle tasche dei mandanti ripuliti.

O ancora, un modo pulito di chiudere un'azienda mandandola in bancarotta senza avere rogne con sindacati e fisco.

A pensar male... italiani come siamo...
@Stupidocane

Perché? uno non può chiudere un'azienda che ha aperto perché ha deciso che ha guadagnato abbastanza soldi o perchè si è stufato e ha voglia di fare altro?

Capisco che per la politica italiana l'operaio al di sotto della cintura blu è considerato un fantolino imbelle al quale il sindacato di turno deve allacciare le scarpine e pulire il nasino... e francamente l'atteggiamento della popolazione italiana un pochettino-ino-ino lascia intendere che sia così...

Però questo porta come unico possibile risultato un calo della fiducia nel governo.

Ho letto da qualche parte che ci son 500K persone in italia che lavorano nell'agricoltura a tipo 700 euri al mese a fronte di 72 ore settimanali, e che per molte di esse questo è l'unico introito.
Ora, un annetto o due di questo tipo di vita fra i 20 ed i 30 anni irrobustisce le ossa e previene i reumatismi... Se c'è la prospettiva di inserirsi in lavori più serii.

Tuttavia un travaso richiede un recipiente di destinazione.

Che risposta ha la società italiana al bambino che alza la mano e chiede:

"Maestra? Perchè dovrei farmi il boffice come nagasaki fra conti e balzelli, sotto una doccia di spade di damocle con un grado di libertà simile a quello di un galeotto per una quantità di soldi inferiore a quelli che prenderei pulendo pavimenti per lo stesso numero di ore?"

Io son brutto cattivo e puzzolente, ma "Aprire un'azienda in Italia è un'idiozia, lo stato rompe troppo le palle e io non lo farò" Lo ho sentito dire anche da eroi di ottobre di rinomanza tale che quando li ho sentiti ho sgranato gli occhioni ed esclamato: "Se lo dice persino lui/lei allora non è una mia impressione soggettiva"
Puffolotti,

La risposta alla tua prima domanda è: dipende.

Dipende da quanti impiegati ed operai lavorano nella tua azienda. Se superano un certo limite, stai pur sicuro che si farà di tutto per non lasciare a casa centinaia di famiglie. Da una parte è una conquista importante dello stato di diritto ma dall'altra, se abusato, diventa garantismo se non assistenzialismo. Cose che se ben utilizzate come strumenti per il mantenimento sociale ed economico, sono necessari nelle democrazie moderne. Ma spesso questi strumenti, almeno qui in Italia, sono abusati. Questo crea degli scompensi a livello microeconomico che a mio modestissimo parere si rivelano in una certa misura peggiori che non se la grande azienda presente sul territorio chiudesse i battenti.

Se la grande azienda è in difficoltà economica, il sistema italiano cerca di aiutarla. Ma le banche che sono magari esposte per milioni di euro con la suddetta azienda, devono comunque fare cassa, rivalendosi spesso sulle microimprese del territorio. Ecco che allora si stringono i cordoni della borsa, i fidi si contraggono, l'accesso al credito diventa sempre più difficile, gli interessi di mora salgono, il sistema degli anticipi si blocca, fino al collasso finanziario. E chiudono decine di microimprese che producevano e ridistribuivano magari più ricchezza sul territorio che non la grande azienda. (Ok, non ho numeri a supporto di questo, ma non credo di essere poi così lontano dalla realtà)

In un Paese che fonda la propria ricchezza sulla microimpresa come l'Italia questo tipo di comportamento è deleterio per l'economia dello Stato.

Cosa che sarebbe (non così facilmente) ovviabile se invece si tenesse in buon conto la microimpresa, mettendola in condizione di prosperare e consentendole di riassorbire la manodopera in eccesso risultante dalla chiusura di grandi aziende. Ma qui sto parlando utopicamente.
Puffolotti 2,

Se teniamo conto della prima risposta, è logico che il pensiero successivo sia di diffidenza sull'aprire nuove aziende in Italia. Finché va tutto bene il sistema Italia funziona abbastanza bene per tutti. Ma in momenti di crisi rivela tutti i suoi punti deboli che sono le fondamenta stesse del sistema. Un insieme di regole e norme improntate come se andasse sempre bene. E se e quando va bene, lasciando ampi spazi di manovra per evadere e delinquere. Cosa che inevitabilmente riporta alla crisi e via andare così. Se poi la crisi è globale e diffusa, il sistema Italia è necessariamente l'ultimo in grado di uscirne. Prima deve fare cassa tra i cittadini.

Non esiste una vera politica industriale in Italia. È solo uno degli strumenti politici che il sistema usa per sopravvivere. Entrare a farne parte significa accettarlo. Posso capire chi decida di non farlo. Sia per motivi di giustizia sociale che per motivi di natura economica.

Ci nascondiamo dietro al dito degli evasori fiscali che rubano risorse allo Stato che potrebbe utilizzare sul territorio. Non si fa mai menzione che spesso il "nero" aumenta esponenzialmente se la tassazione è a dir poco esosa senza dare nulla in cambio, proprio fuori dal concetto di "poter fare una vita dignitosa" e dal FATTO che anche se tutti pagassero le tasse, queste andrebbero perse in mille rivoli senza benefici reali sul territorio stesso.

Da quant'è che non asfaltano strade, puliscono argini, bonificano territori inquinati, dragano fiumi per impedire inondazioni, ampliano porti per sostenere il commercio... no. Invece si continua a creare entità statali (tipo le province) o controllate statali che succhiano enormi quantitativi di denaro senza dare alcun beneficio, nel migliore dei casi creando buchi di bilancio che qualunque diplomato in ragioneria saprebbe riconoscere a colpo d'occhio.

Le manovre tipiche del nostro Stato sono sempre le stesse: ricorrono a fondi d'emergenza o a scudi fiscali quando la cacca arriva alle narici.

L'Italia è marcia dall'interno. Non mette nelle condizioni di prosperare. Quindi sì: non è un buon Paese dove impiantare un'azienda.