Le aziende di tutto il mondo sono vittime periodicamente di attacchi Business E-mail Compromise. Vi spieghiamo quali sono i pericoli e come ridurre i rischi.
Iย cybercriminaliย sono sempre alla ricerca di nuovi modi per attaccare le aziende. Da qualche anno a questa parte, fanno sempre piรน ricorso agliย attacchi BECย (Business E-mail Compromise), che colpiscono la posta elettronica aziendale.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Nel 2019, lโorganismo statunitense Internet Crime Complaint Center (IC3) da soloย ha riportato 23.775 incidenti di questo tipo allโFBI, con un aumento di 3.500ย rispetto al 2018, oltre a un incremento dei danni da 1,2 a 1,7 miliardi di dollari.
Cosโรจ un attacco BEC?
Unย attacco BECย รจ unaย campagna mirata dei cybercriminaliย che impiega le seguenti tattiche:
Intraprendere uno scambio diย e-mailย con unย dipendenteย della compagnia di interesse, o prendere il controllo di un account giร esistente;
Guadagnarsi la fiducia di un dipendente grazie allโingegneria sociale;
Incoraggiareย azioni che vanno contro gli interessi dellโaziendaย o dei suoi clienti.
Di solito tali azioni hanno a che vedere con ilย trasferimento di fondiย sui conti deiย cybercriminaliย o lโinvio diย file riservati, ma non รจ sempre cosรฌ. Ad esempio, i nostri esperti di recente si sono imbattuti in una richiesta che sembrava provenire dal CEO di una compagnia, che riguardava lโinvio di codici regalo via SMS a determinati numeri di telefono.
Sebbene i tentativi diย attacchi BECย impieghino trucchi propri delย phishing, in realtร si tratta di unโoffensiva piรน sofisticata, che ha un che diย expertise tecnologicoย e un poโ diย ingegneria sociale. Inoltre, si tratta di tecniche uniche nel loro genere: le e-mail non contengono link o allegati dannosi ma i cybercriminali provano aย ingannare il client di postaย (e di conseguenza il destinatario) affinchรฉ sembri una normale e-mail. ร lโingegneria sociale ad avere il ruolo da protagonista in questeย truffe online.
Di solito prima dellโattacco cโรจ unaย raccolta accurata di dati sulla vittima, che servono alย cybercriminaleย per guadagnarsi la suaย fiducia. Lo scambio di messaggi tra vittima e cybercriminale puรฒ anche non essere assiduo, due o tre e-mail in un arco di tempo di mesi.
Vale la pena menzionare a parte gliย attacchi BEC multifase, che uniscono diverse situazioni e tecnologie. Ad esempio, iย cybercriminaliย in una prima fase potrebbero rubare le credenziali di un normale dipendente mediante loย spear phishingย e poi perpetrare un attacco nei confronti di unย dirigente della compagnia.
Attacchi BEC: gli scenari piรน comuni
Allโattivo esistono giร alcuni scenari diย attacchi BECย ma i cybercriminali ne inventano sempre di nuovi. In base a quanto abbiamo osservato, la maggior parte dei casi รจ riconducibile a 4 situazioni principali:
Intermezzo promozionale ... continua la lettura dopo il box:
- Falso collaboratore esterno: i cybercriminali si spacciano per un rappresentante di unโazienda con cui collaborerebbe la compagnia del destinatario. A volte menzionano unโazienda con cui davvero hanno rapporti professionali, in altri casi i cybercriminali provano a ingannare le vittime poco attente o ingenue fingendo di rappresentare una compagnia fittizia;
- Istruzioni dal capo: in questo caso, i cybercriminali scrivono unโe-mail falsa che sembra provenire da un manager dellโazienda (di solito di una certa posizione), utilizzando trucchi tecnici o lโingegneria sociale;
- E-mail da un avvocato: i truffatori scrivono a un dipendente di una certa importanza (a volte persino al CEO) dove si chiede urgentemente (e in modo strettamente confidenziale) lโinvio di una somma di denaro o di dati riservati. Spesso si spacciano per contractor, come contabili esterni, fornitori o compagnie di logistica. Tuttavia, la maggior parte delle situazioni indicate implica una risposta urgente e riservata di natura legale, per cui le e-mail di solito sonp a nome di un fantomatico avvocato o di un ufficio legale;
- Hackeraggio dellโe-mail:ย ilย cybercriminaleย ottiene lโaccesso alla casella di posta del dipendenteย per mandare istruzioni ad altri per chiedere fondi o dati o per scrivere a chi puรฒ farlo in azienda. Si tratta di una opzione particolarmente pericolosa in quanto il cybercriminale puรฒ accedere ai messaggi inviati dal dipendente eย imitare la sua forma di comunicazioneย usuale oppure rubare dati riservati, il che porta aย multe salatissime.
Attacchi BEC: le tecniche
Gli attacchi BEC stanno cambiando anche dal punto di vista tecnologico. Se nel 2013 i cybercriminali erano soliti hackerare gliย account e-mail di CEO o del direttore finanziario, al giorno dโoggi imitano sempre di piรน e con maggiore successo anche altre figure, sfruttando la combinazione di sotterfugi tecnici, ingegneria sociale e disattenzione delle vittime. Ecco quali sono iย trucchi tecnici piรน usati negli attacchi BEC:
Spoofing dellโindirizzo e-mail del mittente:ย il cybercriminaleย falsifica gli header dellโe-mail. Di conseguenza, ad esempio, un messaggio inviato da phisher@email.com nella casella del destinatario sembra provenire da CEO@nomeazienda.com. Tale tecnica ha diverse varianti e i vari header possono essere cambiati in vari modi. Il pericolo principale di questo metodo di attacco รจ che non solo i cybercriminali possonoย manipolare gli headerย dellโe-mail ma, per una serie di motivi, anche i mittenti legittimi potrebbero farlo;
Domini simili:ย il cybercriminale registra un nome di dominio molto simile a quello della vittima. Mettiamo il caso,ย comย invece diย example.com. Poi, le e-mail vengono inviate dallโindirizzoย CEO@examp1e.comย nella speranza che un dipendente distratto non riconosca il dominio falso. Il problema di questa tecnica รจ che il cybercriminale รจ il proprietario delย dominio falso, per cui tutte le informazioni sul mittente supereranno i controlli di sicurezza tradizionali;
Mailsploit:ย ci sono sempre nuoveย vulnerabilitร ย da trovare neiย client di posta elettronicaย e che possono essere sfruttate per obbligare il client a mostrare un nome falso o lโindirizzo del mittente. Per fortuna, queste vulnerabilitร saltano velocemente allโocchio delle compagnie di sicurezza informatica, il che consente alle soluzioni di sicurezza di rintracciarne il loro uso per prevenire gli attacchi;
Hackeraggio della casella di posta:ย i cybercriminali ottengono lโaccesso completo allโaccount di posta, che useranno per inviare e-mail praticamente impossibili da distinguere da quelle reali. Lโunico modo per proteggersi automaticamente da questo tipo di attacchi รจ lโimpiego diย tool di apprendimento automaticoย con lo scopo di determinare lโautore delle e-mail.
I casi in cui ci siamo imbattuti
Ovviamente rispettiamo la riservatezza dei nostri clienti; le e-mail che seguiranno non sono vere ma si tratta di esempi per illustrare gli attacchi BEC piรน comuni.
Nome falso
Ilย cybercriminaleย prova a stabilire un contatto con unaย potenziale vittima, spacciandosi per il suo capo. Il destinatario non prova a contattare il capo in persona e il truffatore sottolinea lโurgenza della richiesta e la mancata disponibilitร del capo stesso a essere contattato mediante altri canali di comunicazione:
A uno sguardo piรน attento, si vede che il nome del mittente (Bob) non corrisponde a quellp dellโindirizzo e-mail (not_bob@gmail.com). In questo caso, il cybercriminale ha falsificato solo il nome che viene mostrato quando si apre lโe-mail. Questo tipo di attacco รจ particolarmente efficace sui dispositivi mobili in quanto, di default, viene visualizzato solo il nome del mittente, non lโindirizzo.
Indirizzo falso
Il cybercriminale va alla ricerca di un dipendente dellaย sezione Contabilitร ย che sia autorizzato a modificare i dati bancari e gli/le scrive quanto segue:
Lโheader del messaggioย รจ stato cambiato in modo che il client di posta mostri il nome e lโindirizzo e-mail del dipendente legittimo, e lโindirizzo e-mail del cybercriminale appare quando si risponde al messaggio. Di conseguenza, le risposte arriveranno aย not_bob@gmail.com.ย Molti client di default nascondono questo campo, per cui lโe-mail puรฒย sembrare autenticaย anche a unโispezione piรน attenta. In teoria, un attacco di questo tipo puรฒ essere fermato con la corretta configurazione diย SFP, DKIM e DMARCย a livello di server di posta aziendale.
Spoofing fantasma
Con questo tipo di attacco BEC il cybercriminale, che si spaccia per un manager, trasmette al dipendente la necessitร di collaborare con un falso avvocato, che in teoria lo contatterร presto:
In questo caso, il campo del mittente contiene non solo il nome ma anche lโindirizzo mail falsificato. Non รจ la tecnica piรน allโavanguardia ma funziona ancora su molte persone, soprattutto se il vero indirizzo non viene mostrato sullo schermo del destinatario (semplicemente perchรฉ troppo lungo, ad esempio).
Domini simili
Un cybercriminale prova a intavolare uno scambio di e-mail con un dipendente della compagnia: questo รจ un esempio del metodo del dominio simili, che abbiamo giร menzionato. Lo scammer innanzitutto registra un nome di dominio simile a quello originale (in questo caso examp1e invece di example.com) e poi spera che il destinatario non lo noti.
Attacchi BEC di alto profilo
Di recente, abbiamo visto numeroseย notizieย diย attacchi BECย che hanno provocato danni significativi ad aziende di ogni tipo e dimensione. Ecco i casi piรน eclatanti:
Un cybercriminale ha creato un dominio simile a quello di unโazienda di prodotti elettronici di Taiwan e, durante due anni, lo ha utilizzato per inviare fatture a grandi compagnie (tra cui Facebook e Google), โracimolandoโ un totale di circa 120 milioni di dollari;
Fingendosi unโimpresa di costruzioni, dei cybercriminali hanno convinto lโUniversitร del Sud dellโOregon aย trasferire un totale di circa due milioni di dollari su conti falsi;
Alcuni truffatori si sono infiltrati nello scambio di e-mail tra due squadre di calcio: hanno registrato un dominio con il nome di una delle due squadre ma con lโestensione del dominio diversa. I due club, il Boca Juniors e il Paris Saint-Germain, stavano parlando della commissione da pagare per il trasferimento di un giocatore. Il risultato:ย quasi 520 mila euro sono andati a finire su diversi conti fraudolentiย in Messico;
La divisione europea della Toyotaย ha perso oltre 37 milioni di dollariย (finiti nelle mani di cybercriminali) per via di false istruzioni per un bonifico bancario che un dipendente ha seguito pensando fossero legittime;
Attacchi BEC: come gestirli
I cybercriminali utilizzano una vasta gamma di trucchi tecnici e diย tecniche di ingegneria socialeย per guadagnarsi la fiducia delle vittime e portare a termine le loro truffe. Tuttavia, esistono alcune misure efficaci per ridurre il rischio di cadere nella trappola di un attacco BEC:
Impostate un sistema SPF, utilizzate firme DKIM e implementate una politica DMARC per stare alla larga da falsi scambi di e-mail interni. In teoria, queste misure consentono anche lโautenticazione da parte di altre compagnie delle e-mail inviate (dando per scontato, naturalmente, che le aziende abbiano configurato queste tecnologie).ย Questo approccio non รจ funziona per tuttoย (ad esempio, non si possono evitare lo spoofing fantasma o i domini simili) ma quante piรน aziende utilizzando SPF, DKIM e DMARC, meno spazio di manovra avranno i cybercriminali. Lโuso di queste tecnologie contribuisce a creare una sorta di immunitร collettiva nei confronti di varie operazioni dannose perpetrabili mediante gli header e-mail;
Organizzateย formazioni frequenti per i vostri dipendentiย affinchรฉ siano a conoscenza delle varie tecniche di ingegneria sociale in circolazione.ย Una combinazione di workshop e simulazioniย fa sรฌ che i dipendenti stiano sempre in guardia e siano in grado di identificare gli attacchi BEC e applicare le conseguenti linee di difesa;
Avvaletevi di soluzioni di sicurezza dotate di tecnologie anti-attacchi BEC per contrastare iย vettori di attaccoย che abbiamo descritto in questo post.
Le soluzioni Kaspersky, con il filtro dei contenuti creati nel nostro laboratorio, identificano giร numerosi tipi di attacchi BEC. I nostri esperti sviluppano costantementeย nuove tecnologieย per proteggervi dalle truffe piรน avanzate e sofisticate.
Fonteย : https://www.kaspersky.it/blog/what-is-bec-attack/20990/
