L'aumento delle frodi sui pagamenti push autorizzati (APP) è diventato una preoccupazione significativa per le aziende del Regno Unito e non solo. Infatti, secondo UK Finance Solo nel 2022 sono stati rubati alle aziende più di 500 milioni di sterline attraverso le frodi via APP".
Sean Moriarty, CFO,
AccessPay
Nel nostro recente webinar Come evitare le frodi via APP: Parlare di controlli migliorati sui pagamenti con un CFO, noi scon Sean Moriarty, Chief Financial Officer di AccessPay, per discutere delle frodi sulle APP, della loro diffusione e delle misure efficaci che le aziende possono adottare per prevenirle.
Questo blog approfondisce la conversazione, evidenziando i punti chiave e le strategie discusse.Guarda il webinar completo on-demand
Che cos'è la frode APP?
La frode di pagamento push autorizzato si riferisce a uno schema sofisticato in cui un truffatore inganna un'azienda e la induce a inviare volontariamente fondi a un conto fraudolento. Questo inganno spesso coinvolge il truffatore che si maschera da vero fornitore, dipendente o istituto finanziario. Uno degli aspetti più preoccupanti di questo tipo di frode è che opera con la scusa dell'autenticità, affidandosi a tattiche di social engineering e a strumenti tecnologici avanzati per ingannare vittime ignare, di solito all'interno del team finanziario.
Perché la frode delle APP è così diffusa?
Le frodi su APP hanno acquisito importanza a causa di una combinazione di fattori. Le ricompense finanziarie per i truffatori sono allettanti, poiché anche pochi tentativi riusciti possono portare a guadagni sostanziali per un individuo. Inoltre, l'era digitale ha fornito ai truffatori ampi strumenti per eseguire i loro schemi, tra cui la capacità di hackerare gli account di posta elettronica, creare documenti falsi e persino imitare lo stile di comunicazione dei dirigenti. Poiché il lavoro a distanza e la comunicazione elettronica sono diventati la norma, anche le opportunità per i truffatori di sfruttare queste vulnerabilità sono in aumento.
Un esempio reale di frode APP
Nel corso della sua carriera di CFO, Sean ha visto molti esempi di frodi APP.
Uno dei suoi colleghi CFO ha recentemente evidenziato un esempio scioccante in cui il team finanziario di un'azienda è stato preso direttamente di mira, subendo una perdita finanziaria sostanziale.
Lo scenario: Scoprire uno schema di frode su APP con la condivisione dello schermo
- Azienda: Anonimo
- Contatto iniziale: La vittima riceve una chiamata che sembra provenire da Barclays e che segnala attività sospette sul conto e il blocco dei pagamenti in uscita.
- Richiesta di trasferimento di fondi: Il chiamante convince la vittima a trasferire i fondi sul conto dell'azienda da un conto di deposito, creando urgenza.
- Condivisione dello schermo: Il truffatore propone una sessione di condivisione dello schermo per risolvere il problema in modo più efficiente e la vittima accetta.
- Manipolazione dello schermo: Durante la sessione, il truffatore ottiene il controllo, mostrando transazioni che alla vittima sembrano autentiche, ma che sono state manipolate.
- Richiesta di codice di autorizzazione: Il truffatore chiede alla vittima di inserire un codice di autorizzazione, nascondendo le transazioni effettivamente approvate.
- Trasferimento involontario: La vittima autorizza inconsapevolmente diverse transazioni, causando una perdita di 200.000 sterline per l'azienda.
Questo incidente serve a ricordare l'importanza di implementare i giusti controlli di sicurezza per prevenire questo tipo di truffe in futuro, una lezione che approfondiremo condividendo esempi di misure preventive.
3 modi per combattere la frode delle APP
Individuare le bandiere rosse e le tattiche più comuni
Esistono numerosi esempi di frodi su APP, che vanno da sofisticati attacchi di spear phishing alla manipolazione diretta dei processi di pagamento. Questi scenari reali sottolineano l'importanza di rimanere vigili e di implementare meccanismi di difesa a più livelli all'interno delle organizzazioni. Riconoscere le tattiche comuni utilizzate dai truffatori - come la creazione di un senso di urgenza, lo sfruttamento dei dati personali e la manipolazione della comunicazione via e-mail - può consentire ai team finanziari di identificare potenziali truffe prima che si aggravino.
Nel caso sopra citato, è evidente che la vittima avrebbe dovuto richiamare la banca a un numero diretto, ma l'urgenza creata dal truffatore è stata sufficiente a farle sentire la pressione di risolvere il problema, rapidamente.
È sempre meglio parlare direttamente con un collega più anziano se una comunicazione o un pagamento appaiono irregolari. In questo caso, la tattica comune era quella di "gettare nel panico" la vittima, e purtroppo in questo caso ha dato i suoi frutti.
Sean fornisce un esempio reale di frode APP e di come l'ha superata.
Costruire strategie di difesa efficaci
Per combattere efficacemente le frodi via APP, le aziende devono adottare un approccio completo che comprenda sia la formazione dei dipendenti che le soluzioni tecnologiche. È fondamentale stabilire una forte collaborazione tra i team di finanza, sicurezza, IT e governance, rischio e conformità (GRC).
Sessioni di formazione regolari possono migliorare la capacità dei dipendenti di identificare e segnalare attività sospette. Inoltre, l'integrazione della tecnologia, come i servizi di conferma del beneficiario, può fornire controlli in tempo reale sui dettagli del conto, garantendo che i pagamenti siano diretti a destinatari legittimi.
Tale formazione fornisce a individui e organizzazioni le conoscenze per identificare le tattiche di frode più comuni, tra cui le e-mail di phishing e le comunicazioni manipolative. Sottolinea l'importanza di verificare le richieste di pagamento e le informazioni sul destinatario, promuovendo pratiche come la Conferma del beneficiario (CoP) (di cui si parlerà più avanti) per prevenire le transazioni fraudolente. Inoltre, la formazione instilla abitudini digitali sicure, come una solida gestione delle password e la vigilanza contro gli attacchi di phishing.
In ambito aziendale, la formazione specializzata aumenta la consapevolezza dei dipendenti, riducendo il rischio di minacce interne. Nel caso citato da Sean, il personale, avendo ricevuto una formazione adeguata, era preparato e pronto a rispondere a tentativi di phishing di questo tipo, ma ovviamente ci sono situazioni in cui le aziende non sono così fortunate. Un uomo lituano, Evaldas Rimasauskas, ha orchestrato un classico caso di compromissione della posta elettronica aziendale (BEC) in cui, insieme a dei complici, è riuscito a sottrarre oltre $100 milioni a Facebook e Google. Si sono spacciati per Quanta Computer, con sede a Taiwan, e hanno inviato convincenti e-mail di phishing contenenti fatture e contratti contraffatti per due anni, dal 2013 al 2015.
Volete saperne di più su come implementare strategie di difesa efficaci?
Scaricate la nostra guida gratuita: Guida pratica alla lotta contro le frodi dei pagamenti push autorizzati
Sfruttare la tecnologia per la prevenzione
La conferma del beneficiario (CoP) svolge un ruolo fondamentale nel contrastare i tentativi di frode delle APP. La CoP consente alle organizzazioni di incrociare i numeri di conto, i codici di ordinamento e i nomi dei conti per verificarne la corrispondenza. Effettuando questi controlli prima di avviare i pagamenti, le aziende possono identificare le incongruenze e impedire che i fondi raggiungano conti fraudolenti, fungendo da solido livello di autenticazione. Qualsiasi mancata corrispondenza tra i nomi fa scattare un allarme, inducendo il pagatore a verificare il nome del conto.
transazione. La CoP vanifica le tattiche di social engineering utilizzate dai truffatori e migliora la tracciabilità in caso di violazione.
Se il team della vittima avesse deciso di effettuare un pagamento, la funzione CoP sarebbe stata fondamentale per proteggere l'organizzazione. Avrebbe segnalato le incongruenze tra il nome del conto e la persona da pagare, impedendo l'autorizzazione del pagamento fino alla revisione di questi dettagli.
Le frodi via APP rappresentano un rischio significativo per le aziende di ogni dimensione e settore. Tuttavia, con un approccio proattivo che combina la formazione dei dipendenti e le soluzioni tecnologiche, le organizzazioni possono ridurre il rischio di cadere vittime di questi schemi sofisticati.
Mantenendo una forte collaborazione tra i team finanziari e di sicurezza e sfruttando strumenti avanzati come la CoP, le aziende possono rafforzare le loro difese e proteggere i loro beni dalla minaccia sempre presente delle frodi.
Per saperne di più sulla conferma del beneficiario e sui modi per individuare le transazioni sospette prima che vengano effettuate, consultate il nostro sito web Suite di prevenzione delle frodi e degli errori.