FATTURA ELETTRONICA
LA TRUFFA MILIONARIA DELL’IBAN RITOCCATO
I clienti si trovano i conti svuotati e i fornitori mantengono l’obbligo di pagare
In questi giorni l’Associazione Nazionale dei Commercialisti, attraverso un comunicato stampa, ha lanciato l’allarme sulle “gravi criticità persistenti” del sistema “Fattura Elettronica”. Da quelle relative alla violazione della Privacy, segnalate anche dal Garante a suo tempo, a quelle di Sicurezza segnalate dagli Istituti di Credito i cui clienti sono stati truffati economicamente.
Tra gli elementi della fattura elettronica che viene inviata dal fornitore al cliente (attraverso ovviamente gli intermediari finanziari, come lo SDI e i consulenti dei soggetti interessati) è spesso indicato l’BAN sul quale dovrà essere effettuato il pagamento. Saltando gli intermediari e semplificando, il fornitore invia di norma il file XML o p7m (per le fatture firmate digitalmente) inserendo appunto tale informazione, mentre il cliente riceverà per email il documento in pdf.
I criminali riuscendosi ad inserire tra l’invio e la ricezione del documento, riescono a modificarlo sostituendo l’IBAN del fornitore, con il proprio, prima che giunga al destinatario.
Battezzata, infatti, come “truffa dell’iban sulla fattura elettronica” sta mietendo parecchie vittime tra i clienti degli istituti bancari che si trovano a pagare fatture elettroniche per servizi e beni di cui hanno beneficiato non al reale fornitore del servizio o bene, bensì ad un criminale, mantenendo però, al contempo, l’obbligo di pagare al reale fornitore. Una truffa che sta fruttando ai criminali oltre un milione di euro.
Ecco che la fattura elettronica diventa un ulteriore strumento in mano ai criminali per rubare denaro a ignare vittime. L’attacco rientra tra quelli definiti “B.e.c.”, ossia “Business email compromise” perché l’attaccante, di norma, dopo aver violato le caselle di posta elettronica delle vittime, e prima che queste ricevano le email, intercettano nei messaggi le parole chiave come “fattura”, “pagamento”, … modificano l’IBAN originale con il proprio ed inviano l’email al destinatario. A quel punto il documento che il cliente riceverà riporterà l’IBAN del criminale e non quello del fornitore. Il pagamento quindi avverrà sul conto sbagliato.
Il truffato è il cliente che ha pagato erroneamente ad un altro soggetto, restando obbligato a pagare al fornitore reale prima che questo avvii le azioni legali di recupero crediti
COME PREVENIRE TALE ATTACCO
- Prima di autorizzare pagamenti di fatture elettroniche che riportano un IBAN, è consigliabile verificare la correttezza di tale IBAN. Sarà sufficiente verificare tale informazione, ad esempio, in una eventuale anagrafica del fornitore preesistente al documento o effettuando una telefonata.
- Mantenere i sistemi di posta elettronica aggiornati e sicuri. Se i dipendenti si collegano da remoto alle caselle di posta accertarsi che i sistemi che utilizzano siano conformi alle politiche aziendali. Cambiare inoltre periodicamente le password per l’accesso alla posta elettronica e utilizzare una password diversa per ogni servizio utilizzato.
- Non essendo obbligatorio inserire il dato dell’IBAN sulla fattura, si risolverebbe il problema all’origine se non venisse inserito sul documento. Ricordiamo che la fattura elettronica nel contenuto è identica ad una fattura tradizionale cartacea. Se il programma che permette di generare le fatture lo prevede come dato obbligatorio, si può chiederne la modifica al gestore del programma.
- Inviare informazioni di pagamento, e comunque informazioni delicate (come dati personali, password, …), attraverso mezzi sicuri, ad esempio i messaggi cifrati.
Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub