Stefan De Vrij, insieme a giocatori come Luis Alberto e Sergej Milinkovic Savic, è stato forse tra i migliori acquisti della Lazio nella gestione di Claudio Lotito e del direttore sportivo Igli Tare. Pagato “solo” otto milioni e mezzo di euro dal Feyenoord (squadra di calcio olandese), il difensore centrale ha fatto le fortune della squadra bianco celeste, contribuendo in maniera fondamentale ai risultati sportivi degli aquilotti prima di rifiutare il rinnovo contrattuale per passare a parametro zero all’inter.

Con la squadra del campionato delle Eredivisie, la Lazio si era accordata per un pagamento in tre tranche. Tuttavia, dopo i primi due pagamenti (andati a buon fine), sulla rata finale successe l’imponderabile. Claudio Lotito e soci ricevettero una mail da un impostore, che imitava i dirigenti del Feyenoord, in cui si diceva che il conto corrente su cui pagare la tranche conclusiva era diverso da quello usato in precedenza. La società bianco celeste, persuasa dall’impostore, seguì le indicazioni della mail ricevuta ed effettuò il pagamento della rata conclusiva sul conto ivi indicato. Tuttavia, pochi giorni dopo, la squadra olandese comunicò alla Lazio di non aver mai ricevuto quei soldi, che erano stati versati invece sul conto di criminali informatici, che solo pochi giorni fa sono stati arrestati. Lo riporta la rivista specialistica Calcio & Finanza, secondo cui gli hacker “Hushpuppi” e “Woodberry” sarebbero stati fermati dall’FBI a Dubai per poi essere trasferiti negli Stati Uniti. L’operazione non riguardava solo la società bianco celeste, ma anche diversi altri individui e aziende truffati con la stessa tecnica dal duo di criminali.

Questo è il più classico degli schemi di truffa BEC (Business Email Compromise), o EAC (Email Account Compromise), che consiste nel fingersi come un interlocutore abituale (o rubarne direttamente l’account nel caso delle EAC) per persuadere l’interlocutore a mandare i soldi su un conto diverso da quello abituale. Questi attacchi sfruttano la cosiddetta ingegneria sociale, cioè fanno leva sul carattere e i tratti psicologici delle vittime.

Determinare la differenza tra mail autentiche e di truffa non è sempre facile. Questo perché gli attacchi BEC imitano le caratteristiche personali delle persone che impersonano e fanno sì che le società e i dipendenti ci credano, come nel caso della Lazio. I truffatori BEC sfruttano la psicologia umana e i processi aziendali per indurre le vittime a spostare denaro, reindirizzare buste paga e pagamenti, inviare informazioni riservate e altro ancora. Si tratta di exploit e tecniche di scamming che fanno interamente leva sulla cosiddetta ingegneria sociale (social engineering): puntando sull’elemento umano, a tutti i livelli di impego, il rilevamento di questo tipo di attacchi da parte delle divisioni IT aziendali è difficile, così come da parte delle difese informatiche tradizionali cui le aziende fanno riferimento.

La “compromissione dell’account e-mail” (EAC) è un parente stretto delle BEC. Ma invece di limitarsi a cercare di impersonare qualcuno di cui l’utente si fida con un account simile, gli aggressori EAC compromettono un account reale dal quale fanno partire la truffa. Non sorprende dunque che gli hacker che utilizzano le truffe BEC abbiano già rubato miliardi di dollari alle vittime, e il ritmo sta accelerando.

Tweet