Novità nel panorama APT, campagne e malware inediti, notificati diversi data breach

Vulnerabilità critiche in n8n, l’Italia nel mirino di attività di phishing e ransomware, le ultime dalla Cina

 Vedi tutte
Threat Intelligence

Frode BEC milionaria all’Opera di Santa Maria del Fiore

Threat Discovery Telsy TS WAY Cyber Threat Intelligence

L’Opera di Santa Maria del Fiore è stata coinvolta in una frode BEC (Business Email Compromise) milionaria. La vicenda risale al 2024, ma è stata rivelata, a indagini concluse, solo a dicembre di quest’anno, nel corso di una conferenza stampa organizzata nell’Aula Prosperi della Questura di Brescia.

 

Gli attaccanti hanno dirottato i pagamenti sull’IBAN di un “money mule”

L’Opera è stata fondata dalla Repubblica Fiorentina nel 1296 con la partecipazione delle autorità ecclesiastiche cittadine per sovrintendere alla costruzione della nuova Cattedrale e del suo Campanile. Dal 1777 gestisce il Battistero di San Giovanni e, dal 1891, anche il Museo dell’Opera di Santa Maria in Fiore. Dal 1998 ha assunto natura di onlus.

Frode BEC milionaria all’Opera di Santa Maria del Fiore_duomo

La frode ha riguardato pagamenti per il restauro del Complesso Eugeniano, sede dello Studio Fiorentino e della Facoltà di teologia fondata da Papa Eugenio IV nel 1435. Ad agosto 2024 l’Opera ha autorizzato due bonifici ravvicinati, per un totale di €1.785.366, con i quali si sarebbe dovuto saldare il conto con l’impresa veneta che aveva ricevuto l’incarico per i lavori. Quando l’azienda creditrice ha chiesto informazioni sul pagamento è emerso il sospetto che i bonifici fossero stati dirottati.

Gli attaccanti, dopo aver intercettato lo scambio di e-mail fra le due parti legittime, hanno inviato all’Opera una richiesta di bonifico fraudolenta fornendo l’IBAN di un conto attivato da un “money mule” in una filiale bancaria di Sarezzo (BS). L’uomo, un imprenditore di Lumezzane già condannato per attività di riciclaggio, avrebbe ricevuto una ricompensa di €50.000 per ricevere i pagamenti sul conto corrente della sua azienda.

Il caso ha portato alla scoperta di un vasto giro criminale – articolato in frodi informatiche, riciclaggio, autoriciclaggio ed emissione di fatture per operazioni inesistenti – che ha fruttato almeno €30 milioni in soli sei mesi. A guidare le attività di riciclaggio ed evasione fiscale, mediando fra domanda e offerta, sarebbero stati due fratelli italiani con base a Brescia che si avvalevano della collaborazione di una crew di cittadini di origini cinesi, la quale operava soprattutto a Milano.

Il denaro veniva ripulito transitando su conti bancari in Italia e all’estero (in Cina, Lussemburgo, Polonia, Germania, Spagna, Lituania, Nigeria e Croazia). Ma veniva redistribuito anche in contanti, stoccato in un appartamento di Milano e trasportato da “spalloni” che lo consegnavano a imprenditori con difficoltà ad accedere al credito attraverso canali legittimi.

Gli indagati sono in totale tredici. Le persone tratte in arresto, nove. Nel corso delle perquisizioni sono stati sequestrati circa €500.000 in contanti. Agli atti risulta un’ulteriore frode BEC, da “soli” €15.900, che ha impattato una società della Repubblica Ceca.

 

Come avviene la truffa?

La frode BEC è un attacco di social engineering che mira ad ingannare la vittima attraverso comunicazioni verosimili, basate su fatti e dati reali.

La tecnica sulla quale si basa è l’Email Thread Hijacking, una variante dell’attacco MitM (Man-in-the-Middle). L’accesso non autorizzato agli scambi di posta elettronica consente di selezionare quelli contenenti informazioni sensibili su affari in corso, compravendite, transazioni finanziarie, ecc.

Una volta individuata l’operazione di interesse, vengono manomesse le comunicazioni esistenti, o ne vengono generate di nuove, con l’obiettivo di indurre le vittime ad autorizzare pagamenti su conti controllati dai criminali. Questa fase è stata resa sempre più efficace dall’adozione di agenti di intelligenza artificiale che possono produrre contenuti testuali e visuali fake molto credibili, oppure manipolare ad arte quelli autentici.

 

Mantenere alto il livello di attenzione

Lo stesso giorno in cui veniva rivelata la frode ai danni dell’Opera di Santa Maria del Fiore, l’ACN (Agenzia per la Cybersicurezza Nazionale) segnalava una campagna rivolta a organizzazioni con sede in Italia, mirata alla compromissione di caselle e-mail che vengono poi sfruttate, tramite thread hijacking, per le frodi BEC.

Frode BEC milionaria all’Opera di Santa Maria del Fiore_contoI criminali avevano compromesso account di posta aziendali, presumibilmente, sfruttando credenziali rubate in campagne di phishing mirato, oppure attraverso password spraying o ancora mediante attacchi dizionario.

L’Agenzia invita utenti e organizzazioni a verificare scrupolosamente i messaggi ricevuti e ad attivare le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese
  • non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa
  • accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso
  • provvedere all’immediata rotazione delle credenziali di accesso per tutte le utenze coinvolte o sospette, garantendo l’adozione di criteri di complessità adeguati in linea con le policy di sicurezza vigenti
  • implementare e rendere mandatori meccanismi di autenticazione forte (Multi-Factor Authentication) a presidio di tutti gli account di posta elettronica, al fine di mitigare il rischio derivante dalla compromissione delle sole password
  • effettuare una puntuale verifica delle configurazioni delle caselle di posta, con specifico riferimento all’identificazione e alla rimozione di regole di inoltro automatico o di archiviazione non esplicitamente autorizzate dall’utente
  • adottare procedure di verifica “fuori banda” (es. contatto telefonico diretto su numerazioni preesistenti) a fronte di qualsivoglia richiesta di variazione delle coordinate bancarie (IBAN), anche qualora la comunicazione appaia provenire da interlocutori fiduciari.

 

TS-Intelligence

TS Intelligence_Telsy_Platform 2_LUG25Le informazioni riportate sono l’esito del lavoro di raccolta e analisi svolto dagli specialisti del team Theat Intelligence & Response di Telsy con l’ausilio della piattaforma TS-Intelligence, una soluzione proprietaria, flessibile e personalizzabile, che fornisce alle organizzazioni un panorama di rischio dettagliato.

Si presenta come una piattaforma fruibile via web e full-API che può essere azionata all’interno dei sistemi e delle infrastrutture difensive dell’organizzazione, con l’obiettivo di rafforzare la protezione nei confronti delle minacce cibernetiche complesse.

La costante attività di ricerca e analisi sui threat actors e sulle minacce emergenti in rete, sia in ambito APT che cyber crime, produce un continuo flusso informativo di natura esclusiva che viene messo a disposizione delle organizzazioni in real-time ed elaborato in report tecnici, strategici ed executive.

Scopri di più sui nostri servizi di Intelligence.