Business Email Compromise: quali sono le minacce più comuni?
Secondo il Data Breach Investigations Report del 2020, ad oggi oltre l’80% delle violazioni della sicurezza è causato e reso possibile dal furto di credenziali. Quando un account di posta elettronica aziendale viene compromesso, l’intera organizzazione può subire danni di vasta portata.
In questo articolo, daremo uno sguardo ad alcune delle minacce più comuni che le organizzazioni devono affrontare attualmente. È fondamentale capire come funzionano questi attacchi per proteggere i tuoi sistemi di posta elettronica.
Business Email Compromise
Le truffe di tipo Business Email Compromise (BEC) sono una forma di frode tramite posta elettronica in cui l’autore dell’attacco si “maschera” da dipendente senior e tenta di costringere il destinatario a svolgere la propria funzione aziendale per uno scopo illegittimo, come il trasferimento di denaro.
Gli attaccanti potrebbero eseguire queste truffe utilizzando uno dei seguenti metodi:
- Email o spoofing di siti web: imitazione di email o siti web legittimi
- Invio di email di spear phishing
- Distribuzione di malware
Secondo l’Europol, stanno anche diventando più professionali e convincenti in modo allarmante. Gli attacchi BEC sono diventati rapidamente una priorità assoluta per le forze dell’ordine europee poiché il panorama delle minacce continua ad evolversi a una velocità incredibile.
Quattro truffe BEC comuni
Ecco quattro scam BEC basilari a cui prestare attenzione:
- Truffa con fattura falsa: un attacco di questo tipo avviene impersonando un fornitore attendibile dell’azienda. L’assunzione d’identità si basa sul social engineering e spesso viene realizzata utilizzando email contraffatte. La truffa viene quindi eseguita con una richiesta di trasferimento di fondi per il pagamento di una fattura su un conto fraudolento invece che su un conto legittimo di quel fornitore. L’anno scorso ha fatto scalpore la notizia di uno scam di questo tipo ai danni di Google e Facebook, che è costato loro circa 100 milioni di dollari.
- Truffa fraudolenta: gli attaccanti in una truffa fraudolenta in genere si spacciano per dirigenti di alto livello come CEO, CFO o COO dell’azienda presa di mira. Potrebbe sembrare che stiano gestendo questioni urgenti e riservate, ma in realtà sono uno spoofing. Queste questioni sono accompagnate da una richiesta di trasferire denaro su un conto sotto il loro controllo, ad es. il conto di un “mulo”. In alcuni casi, queste richieste vengono inviate direttamente all’istituto finanziario della società, insistendo sul fatto che i fondi devono essere trasferiti con urgenza.
- Truffa del falso avvocato: in questa truffa l’attaccante si rivolge ai dipendenti dell’azienda presa di mira fingendo di essere un avvocato presso il consulente legale aziendale o un altro studio legale. Analogamente alle truffe sopra menzionate, spesso affermano di gestire questioni riservate e urgenti che richiedono al dipendente di gestire un trasferimento di fondi. La richiesta è resa ancora più credibile dal riferimento a situazioni effettivamente in atto nella società, come una fusione o un’acquisizione. Questo tipo di attacco viene in genere programmato verso la fine di una giornata lavorativa, quando i dipendenti sono stanchi e hanno maggiori probabilità di cadere vittime della truffa.
- Truffa delle risorse umane: in questo caso, l’attaccante si presenta come qualcuno di una specifica area funzionale dell’azienda, ad esempio le risorse umane. Tuttavia, a differenza delle precedenti truffe, chiederà informazioni di identificazione personale (PII) invece di denaro. Questa richiesta è ancora più dannosa per l’azienda in quanto le informazioni ricevute possono essere utilizzate per estorcere denaro o per facilitare un attacco più ampio.
La cattiva notizia sulle truffe BEC è che funzionano. Gli scam BEC sono ancora più credibili quando vengono eseguiti da account di posta elettronica compromessi.
Secondo l’Internet Crime Complaint Center (IC3), solo nel 2019 ci sono state perdite di 1,7 miliardi di dollari USA a causa delle truffe BEC.
Email Account Compromise
Email Account Compromise (EAC) è un attacco sofisticato in cui gli attaccanti utilizzano varie tattiche, tecniche e procedure per compromettere l’account di posta elettronica di un utente al fine di ottenere l’accesso agli account legittimi. Sebbene sia simile al BEC, la differenza tra EAC e BEC sta nel fatto che il sistema di posta elettronica sia stato compromesso.
- BEC: assume la tua identità ma non compromette il sistema di posta elettronica. Gli attaccanti BEC in genere utilizzano tattiche di falsificazione dell’identità come lo spoofing del dominio, lo spoofing del nome visualizzato e i domini simili per indurre le vittime a effettuare pagamenti ad account fraudolenti.
- EAC: assume la tua identità, compromette il sistema di posta elettronica e utilizza il tuo account di posta elettronica effettivo.
Gli attaccanti EAC assumono il controllo del tuo account che consente loro di aggirare i filtri di posta elettronica e i controlli di autenticazione. Questo è un modo molto efficace per condurre frodi via email internamente o con i tuoi clienti. Le email di phishing da un account compromesso sono particolarmente efficaci perché sono “attendibili”.
Sia EAC che BEC fanno molto affidamento sul social engineering e sono rivolti a persone specifiche. Questi due tipi di compromissioni sono così intrecciate tra loro che il Federal Bureau of Investigation (FBI) degli Stati Uniti ha monitorato queste truffe come un unico tipo di crimine dal 2017.
Gli attacchi EAC lanciati da account di posta elettronica compromessi sono difficili da rilevare. Questi attacchi possono essere mirati ad altri utenti all’interno dell’organizzazione di destinazione o esterni come clienti e partner.
Un attacco EAC rappresenta un grave rischio per il legittimo proprietario dell’account e per le società coinvolte. Non solo offre agli attaccanti la possibilità di impersonare il proprietario dell’account, ma fornisce anche pieno accesso ai contatti della persona, alle conversazioni email in corso e agli archivi email.
Ciò significa che gli attaccanti possono ora sfruttare gli account di posta elettronica aziendali compromessi per creare nuove truffe straordinariamente personalizzate ed efficaci in base alle informazioni in loro possesso. Tra queste ci sono:
- Avvio di una vasta campagna di phishing dall’account compromesso. Nella maggior parte dei casi, la “buona reputazione” dell’account e del server di posta elettronica aziendale rende efficaci queste campagne.
- Invio di email più mirate ed elaborate ai dipendenti autorizzati a pagare fatture fasulle, se il titolare dell’account è una figura di alto livello all’interno dell’organizzazione.
- Inserirsi in conversazioni organizzative incentrate sui pagamenti per informare i destinatari che in questa occasione devono trasferire denaro a un conto diverso, creando l’opportunità di furto.
A causa dell’aumento del furto di credenziali utilizzato per violare i servizi di posta elettronica basati su cloud e per condurre un BEC o un EAC, è fondamentale garantire la sicurezza delle credenziali aziendali e il loro utilizzo.
Le organizzazioni possono proteggere le loro attività implementando un approccio multilivello alla sicurezza, compreso l’uso di Multi-Factor Authentication (MFA), User and Entity Behavior Analytics (UEBA) e password manager.
È inoltre essenziale condurre una formazione di sensibilizzazione alla sicurezza a livello di organizzazione contro il furto di credenziali in modo che i dipendenti possano aiutare a rilevare gli attacchi di social engineering invece di caderne vittima. Tuttavia, altri attacchi come malware e intrusioni di rete richiedono un diverso tipo di risposta.
Per maggiori informazioni sulla sicurezza della posta elettronica leggi il nostro ultimo whitepaper.
Categorie