Vai al sito Mister Credit

IL BLOG DI
MISTER CREDIT

CEO scam: in cosa consiste la truffa del CEO


Tempo di lettura stimato: 4 minuti

La truffa del CEO, anche nota con il termine inglese CEO scam, è una strategia di phishing sempre più diffusa ed efficace che colpisce le aziende.

Scopriamo insieme in cosa consiste e come difendersi.

In cosa consiste la truffa del CEO

La truffa del CEO prende di mira le aziende – specialmente quelle di piccole e medie dimensioni - e sta colpendo un po' in tutto il mondo. Ha lo scopo, tramite messaggi falsamente provenienti da dirigenti dell'azienda, di indurre i dipendenti a inviare denaro o comunicare dati di grande valore ai cybercriminali.

Ecco in dettaglio come funziona:

  • Ogni CEO scam comincia con un attacco BEC. Questo acronimo, che significa Business Email Compromise, indica una compromissione di una casella di posta elettronica aziendale. Nella pratica, i cybercriminali riescono a infiltrarsi in un account e-mail aziendale.
  • Tramite l'account inviano e-mail ai dipendenti in posizione inferiore nell'organigramma o a quelli incaricati della gestione delle risorse finanziare, con l’obiettivo di far trasferire del denaro sui conti dei criminali. Può trattarsi, ad esempio, del pagamento della fattura di un fornitore o di un partner.
  • Il dipendente, ignaro della compromissione dell'e-mail e convinto di obbedire a un superiore, invia il pagamento. La truffa prosegue, spesso con un susseguirsi di pagamenti, finché non viene scoperta.
    La truffa del CEO rientra tra le tecniche di phishing, anzi più nello specifico e-mail phishing, che sfrutta tecniche di ingegneria sociale per indurre i bersagli (i dipendenti autorizzati a compiere pagamenti) a inviare denaro. A volte, invece, l'obiettivo è ottenere informazioni riservate dell'azienda, a scopo di ricatto o per rivenderle al miglior offerente.

Quali aziende sono più a rischio di CEO scam

Come dicevamo, le piccole e medie imprese, dove spesso la soglia di vigilanza è più bassa e molte procedure si svolgono ancora tramite semplici comunicazioni via e-mail, sono le più esposte al pericolo di questo tipo di truffa.

Un secondo elemento che attira i criminali è l'abitudine dell'azienda a compiere pagamenti verso conti correnti all'estero. È il caso delle aziende di import export o di quelle che hanno fornitori e partner in diversi paesi.

Come proteggere la tua azienda dalla truffa del CEO

I consigli per evitare di cascare nella truffa del CEO sono all'incirca gli stessi che offriamo ogni volta che parliamo di sicurezza informatica aziendale:

  • La formazione dei dipendenti è un fattore cruciale – solo se i tuoi dipendenti sono consapevoli dei pericoli e delle migliori pratiche che riguardano la cybersicurezza della tua azienda, possono fare del loro meglio per proteggerla.
  • Limita l'accesso dei dipendenti alle sole informazioni indispensabili – la strategia di sicurezza nota come “Zero Trust” prevede un accesso stratificato dei dipendenti alle informazioni più critiche per l'azienda. Ogni collaboratore può dunque vedere e utilizzare solo le informazioni e gli strumenti che sono strettamente necessari per lo svolgimento delle sue mansioni. In questo modo, in caso di compromissione di un account aziendale, i cybercriminali potranno mettere le mani solo su un perimetro limitato di dati.
  • Implementa e rispetta rigide procedure – puoi, ad esempio, utilizzare degli specifici software di gestione dei pagamenti che, tramite workflow automatici, prevedono passaggi di verifica da parte di diversi dipendenti e dirigenti dell'azienda. In questo modo scongiuri la possibilità che venga effettuato un pagamento per una fattura inesistente solamente perché un dirigente l'ha ordinato a un dipendente via e-mail.
  • Utilizza sistemi di autenticazione forti – la compromissione di un'e-mail aziendale è possibile solo nella misura in cui falliscono le misure che hai messo in atto per proteggere i tuoi account. Tra queste misure, una delle più efficaci è l'autenticazione multifattoriale.
  • Mantieni aggiornate le tue protezioni tecniche – firewall, software antintrusione, VPN per i dipendenti che lavorano da remoto sono tutti strumenti cruciali per limitare le incursioni dei cybercriminali.
  • Verifica i rischi informatici e monitora i dati aziendali - scopri le vulnerabilità a cui la tua azienda è esposta, monitora la circolazione sul dark web dei dati aziendali e gestisci i rischi cyber con SICURNET BUSINESS.

Vuoi scoprire quanto sei in grado di sventare gli attacchi phishing? Prova CyberNinja, il gioco lanciato da CRIF per diffondere una maggiore consapevolezza sulle tecniche di phishing.
E se invece desideri tenere sotto controllo i tuoi dati personali e finanziari, c'è SICURNET, il servizio di Mister Credit che ti avvisa se i tuoi dati vengono intercettati in ambienti web pericolosi!

 

MISTER CREDIT

Sempre al tuo fianco per tutelarti dal rischio di furto d’identità, proteggere la tua sicurezza online e valutare la tua affidabilità creditizia.

www.mistercredit.it

Privacy policy

Cookie policy

© Copyright 2025 CRIF S.p.A. All rights reserved: Via della Beverara, 21 • 40131 Bologna • Italia - Cap. Soc. € 51.796.545,00 i.v. • R.E.A. n° 410952 • Registro Imprese Bologna, C.F. e P.IVA 02083271201
Società soggetta all'attività di direzione e coordinamento di CRIBIS Holding S.r.l. - Società con unico socio

ARGOMENTI PRINCIPALI

SICUREZZA ONLINE FURTO D'IDENTITÀ PRIVACY SICURNET CREDITO DATI PERSONALI AFFIDABILITÀ CREDITIZIA METTINCONTO IDENTITÀ DIGITALE MUTUO TRUFFE ONLINE MISTER CREDIT FRODI CREDITIZIE SOCIAL NETWORK IDENTIKIT PRESTITO SOCIAL MEDIA SICUREZZA INFORMATICA SICUREZZA DIGITALE PHISHING PASSWORD SIC OSSERVATORIO CRIF CASA SHOPPING CREDITO AL CONSUMO CYBERBULLISMO REPUTAZIONE CREDITIZIA CYBERCRIMINALI SMARTPHONE CYBERCRIME FINANZIAMENTO AFFITTO

Cerca

Fai la tua ricerca sul sito