Quando si tratta di costi finanziari diretti, la compromissione della posta elettronica aziendale (Business Email Compromise, o BEC) lascia in ombra tutte le altre minacce. Nel 2020, questo tipo di attacco è costato alle aziende oltre 1,8 miliardi di dollari, rappresentando la metà di tutte le perdite causate dal cybercrimine.
Nonostante ciò, gli attacchi BEC vengono spesso fraintesi, mal classificati e confusi con altre minacce, rendendo difficile comprendere la reale portata del problema e ostacolando le strategie di difesa messe in atto per proteggere le proprie organizzazioni.
Il termine BEC non dovrebbe essere usato come indicazione generale per una serie di minacce e-mail. Se ogni attacco è unico, la maggior parte condivide una serie distinta di caratteristiche. Più ne sappiamo, meglio possiamo identificarli, classificarli e infine tenerli a bada.
Ogni attacco BEC comporta un livello di inganno. I truffatori utilizzano una serie di tecniche, dalla compromissione di account e-mail legittimi allo spoofing dei domini di fornitori e altre terze parti, per impossessarsi di indirizzi e-mail che vengono poi utilizzati per impersonare contatti fidati e chiedere ai dipendenti di compiere una determinata azione.
Quale sia l’azione nel dettaglio dipende dallo stile dell’attacco, anche se la maggior parte coinvolge qualche tipo di transazione finanziaria. Per poter affrontare al meglio questa tipologia di minacce, di seguito è riportata una suddivisione dei temi di attacco più comuni, insieme a una guida su come tenere le BEC al di fuori del perimetro aziendale.
False fatturazioni (InvoiceFraud)
La frode su fattura si verifica quando un malintenzionato inganna un’organizzazione facendole pagare qualcosa che non ha acquistato o reindirizzando un pagamento legittimo nelle mani dei criminali informatici. Poiché le transazioni business to business possono avere valori elevati e hanno tipicamente scadenze molto precise, questo tipo di frode è sia molto comune che incredibilmente costosa.
Ci sono due metodi standard per un attacco di frode su fattura. I criminali informatici falsificano l’indirizzo e-mail di un fornitore per richiedere il pagamento di fondi, o compromettono un account legittimo del fornitore e modificano le informazioni di pagamento.
In alcuni casi, i truffatori intercetteranno i legittimi scambi di email tra un’organizzazione e un fornitore, osservando e imitandone il tono per inserire un attacco BEC in una conversazione già attiva. Poiché i dipendenti sono tipicamente inconsapevoli di avere a che fare con un impostore, la frode su fattura viene rilevata solo quando le merci o i pagamenti non arrivano ai legittimi destinatari. Ma a questo punto, i fondi sono già spariti da tempo.
Reindirizzamenti di buste paga (Payroll Redirect)
Conosciuti anche come deviazioni di buste paga, questo tipo di reindirizzamenti è una delle tecniche BEC più semplici ed efficaci. In questo caso, la truffa consiste nell’ingannare un’organizzazione facendole reindirizzare i salari dei dipendenti sul conto dell’aggressore.
Secondo l’FBI, la perdita media per singolo attacco ammonta a 7.904 dollari. E con circa 2.000 attacchi tentati ogni giorno, anche questo si conferma un flusso di entrate piuttosto lucrativo.
Nella maggior parte dei casi, gli attacchi di reindirizzamento degli stipendi vengono inviati tramite servizi di posta elettronica gratuiti come Gmail, con il nome del dominio falsificato per essere simile al dipendente in questione. L’email viene poi inviata da questi indirizzi richiedendo la modifica deidati bancari. Il campanello d’allarme suona solodiversi giorni dopo quando il legittimo destinatario non trova lo stipendio accreditato sul proprio conto.
Frode del pagamento anticipato (Advance FeeFraud)
La frode del pagamento anticipato è uno dei più vecchi tipi di truffa via e-mail. Spesso chiamati in modo fuorviante 419 o truffe del principe nigeriano, questi attacchi hanno avuto iterazioni piuttosto stravaganti negli ultimi anni. Tuttavia, le conseguenze di cadere vittima di questa minaccia sono tutt’altro che divertenti.
Qui, l’attore della minaccia chiede alla potenziale vittima una piccola somma di denaro in anticipo su un pagamento più ingente in seguito. Il pagamento iniziale viene presentato come aiuto per sbloccare una vincita molto più significativa, che spesso viene rivendicata come un’eredità o vincita alla lotteria.
Storicamente, i criminali dietro questi attacchi affermavano di essere discendenti di reali o membri di un’organizzazione governativa. Più di recente, hanno creato esche intorno al COVID-19 e alla pandemia. La maggior parte delle e-mail di frode con pagamento anticipato viene inviata tramite domini spoofed e lookalike.
Esche e task email(Lure and Email Task)
Questo metodo di attacco è un po’ diverso in quanto è benevolo di per sé, ma spesso agisce da gateway per altre minacce. Mentre l’obiettivo finale è di solito finanziario, lo scopo iniziale di un’email di adescamento è quello di attirare l’attenzione della vittima e valutare la sua propensione ad essere truffata.
Le e-mail vengono per lo più inviate da nomi di dominio spoofed, con gli autori che si spacciano per un contatto fidato del destinatario. I messaggi sono di solito brevi e diretti: “Sei disponibile?” o “Ho bisogno di un favore veloce”. Se il destinatario risponde in un modo che suggerisce che abbia abboccato all’esca, gli attori della minaccia continuano a chiedere denaro con la scusa di un’emergenza o situazione simile sensibile al tempo.
L’esca e la frode via e-mail a tema è incredibilmente diffusa, rappresentando più della metà di tutte le minacce di frode via e-mail nel 2021.
Vincere la battaglia contro la BEC
Gli attacchi qui trattati sono tra i più difficili da rilevare e da cui difendersi. Sono progettati per insinuarsi subdolamente nel nostro lavoro quotidiano e spesso non vengono individuati fino a molto tempo dopo che la truffa è stata perpetrata.
Per questo motivo, i tradizionali strumenti di sicurezza informatica focalizzati sul perimetro e i gateway da soli non costituiscono una protezione adeguata. Come la maggior parte delle minacce informatiche moderne, il BEC è un attacco diretto alle persone, non alla tecnologia. Fermarlo, quindi, richiede una difesa incentrata sulle persone.
Mettere in atto controlli per monitorare l’accesso alla rete, autenticare i domini e segnalare attività sospette è un buon inizio. Questo dovrebbe essere accoppiato a una protezione completa della posta elettronica progettata per analizzare e filtrare i messaggi dannosi prima che raggiungano la casella di posta. Anche i processi per verificare eventuali modifiche alle transazioni finanziarie sono un must, con richieste verificate attraverso più fattori e mai solo via e-mail.
Più di tutto, però, il personale deve capire la minaccia che sta affrontando. Questo significa per le aziende implementare un programma di formazione sulla consapevolezza della sicurezza completo, continuo e adattivo. Più gli utenti sono consci delle potenziali conseguenze delle BEC, meno è probabile che cadano nelle numerose trappole tese da criminali tenaci e opportunisti.
Con gli strumenti e la formazionegiusti, potete trasformare i vostri utenti in una solida ultima linea di difesa contro gli attacchi informatici. E con la minaccia BEC in continuo aumento, è una linea di difesa di cui ci sarà estremo bisogno.
Luca Maiocchi*
*Country Manager di Proofpoint, spiega quali sono gli attacchi BEC più comuni e come le aziende possono affrontarli con successo
