Il phishing non conosce limiti, e mentre i cittadini sono bersagliati da attacchi a tema COVID (fra cui il più recente millanta la sospensione del Green Pass) le aziende vengono bersagliate da una truffa ben architettata e rodata. Si tratta dell’invito a inserire "gratuitamente" la propria attività nel registro UE delle imprese. Il mittente è la sedicente associazione EU Business Register, che non ha nulla a che vedere con la European Business Registry Association (EBRA).

Le vittime ricevono una email, in lingua inglese, che le invita a compilare e firmare un modulo, da inviare per posta, fax, o in risposta all’email stessa, per iscrivere la propria azienda all’EU Business Register. Il modulo in questione è in allegato, in formato PDF, ha un aspetto professionale e chiede informazioni sul tipo di attività svolto dall’impresa: settore operativo, nome, indirizzo, numero di telefono, email e altro.

Tutto sembra molto credibile, ma è una truffa. Nonostante l’iscrizione sia promossa come gratuita, chi restituisce il modulo compilato di fatto sottoscrive un contratto di durata triennale che obbliga la propria azienda a pagare 995 euro all'anno come tassa di iscrizione al registro.

Il problema è che in calce, in caratteri molto piccoli, è riportato un box che esplicita i termini del contratto, con le cifre da versare, la periodicità, la scadenza, il rinnovo automatico e tutti i vincoli ad esso connessi. Il mancato pagamento è quindi un’inadempienza a un contratto legalmente vincolante e convalidato al momento della firma. Il contraente che non rispetta i termini di pagamento viene minacciato di azione legale.

Gli elementi che si ravvisano in questa truffa sono diversi. Il primo è che questa truffa non è nuova, è ormai rodata da anni e ormai nessuno dovrebbe più abboccare. Invece ha coinvolto aziende in Nord America, Europa e Asia. Le più colpite sono state le aziende statunitensi (24%), irlandesi (26%) e svedesi (18%). Danimarca, Romania, Regno Unito, Germania e Italia sono state interessate solo marginalmente.

Il secondo elemento è che non si tratta di un phishing mirato, ma della classica pesca a strascico. I mittenti non sanno nulla delle aziende destinatarie della email, sfruttano solo in maniera opportunistica la negligenza e la mancanza di consapevolezza dei destinatari.

Il terzo elemento è che il danno, per chi abbocca, non è solo finanziario. Gli esperti di Bitdefender che hanno seguito la vicenda sottolineano che nel momento in cui viene firmato il contratto, si cedono ai cyber criminali dati e informazioni relativi all’azienda. Potrebbero essere impiegati per colpire l’impresa con tecniche di social engineering e causare danni per ben più dell’importo richiesto inizialmente.

Come gestire una email simile? Cestinandola immediatamente, anche se il modulo di registrazione ha un aspetto ufficiale. Inoltre, è bene ricordare quello che precisa la nota ufficiale di EBRA: non solo non c'è alcuna relazione tra loro e la EU Business Register, ma EBRA non è un'autorità di registrazione e non gestisce alcun database di dati di aziende, pertanto EBRA non può e non deve richiedere alcun pagamento alle aziende per essere inserite in una banca dati.