La BEC (Business Email Compromise), o compromissione dell'e-mail aziendale, è una truffa via e-mail di spear phishing il cui intento è estorcere con l'inganno denaro o dati sensibili a un business.
In un attacco BEC, un criminale informatico (o una banda di criminali informatici) invia a dipendenti dell'organizzazione presa di mira e-mail che fingono di provenire da un collega o un fornitore, partner, cliente o altro affiliato. Le e-mail vengono redatte in modo da indurre i dipendenti a pagare fatture fraudolente, effettuare bonifici su conti bancari fasulli o divulgare informazioni sensibili come dati dei clienti, proprietà intellettuali o informazioni finanziarie aziendali.
Nei casi più rari, le truffe BEC possono avere l'intento di diffondere ransomware o malware chiedendo alle vittime designate di aprire un allegato o fare clic su un collegamento dannoso.
Per far sembrare legittime le proprie e-mail, gli autori dell'attacco BEC ricercano attentamente i dipendenti da prendere di mira e le identità da impersonare. Usano tecniche di ingegneria sociale, come lo spoofing, o manomissione, e il pretexting, o simulazione, di indirizzi e-mail, per costruire e-mail di attacco che imitino in tutto e per tutto messaggi inviati dal reale mittente. In alcuni casi, i truffatori forzano l'account e-mail del mittente e lo dirottano, rendendo le e-mail di attacco ancora più credibili, se non praticamente indistinguibili dai messaggi autentici.
Gli attacchi di compromissione dell'e-mail aziendale sono tra gli attacchi informatici più costosi. Secondo il rapporto Cost of a Data Breach 2022 di IBM, le truffe BEC rappresentano il secondo tipo di violazione più oneroso, con un costo medio di 4,89 milioni di dollari. Secondo l'Internet Crime Report dell'FBI Internet Crime Complaint Center (PDF, link esterno a ibm.com) le truffe BEC nel 2022 sono costate complessivamente 2,7 miliardi di dollari alle vittime statunitensi.
Gli esperti di sicurezza informatica e l’FBI identificano sei tipi principali di attacchi BEC.
Contraffazione di fatture
L'autore dell'attacco BEC finge di essere un fornitore con cui collabora l'azienda e invia al dipendente di destinazione un'e-mail con allegata una finta fattura; quando l'azienda paga, il denaro viene intascato dal truffatore. Per essere convincente, l'autore dell'attacco può intercettare fatture effettive dei fornitori e modificarle per dirottare i pagamenti sui propri conti bancari.
Da notare che alcune sentenze hanno stabilito (link esterno a ibm.com) che le aziende che abboccano a fatture contraffatte sono comunque tenute ad assolvere i propri impegni nei confronti delle loro reali controparti.
Uno dei più grandi raggiri basati su fatture fasulle è stato perpetrato ai danni di Facebook e Google. Dal 2013 al 2015 l'autore dell'attacco si è spacciato per Quanta Computer, produttore di hardware con cui collaborano entrambe le società, sottraendo 98 milioni di dollari a Facebook e 23 milioni di dollari a Google. Benché il truffatore sia stato arrestato ed entrambe le società abbiano recuperato la maggior parte di quanto estorto, questo esito è raro per le truffe BEC.
Frode del CEO
I truffatori in questo caso fingono di essere un dirigente, solitamente il CEO, e chiedono a un dipendente di trasferire denaro a una terza parte, spesso con il pretesto di concludere un affare, pagare una fattura scaduta o addirittura acquistare carte prepagate per colleghi di lavoro.
Gli schemi fraudolenti del CEO spesso creano un senso di urgenza, in modo che la persona presa di mira agisca rapidamente e in modo avventato (ad esempio, questa fattura è scaduta e se non la paghiamo immediatamente perderemo il servizio), o di segretezza, inducendo la vittima a evitare di consultare i colleghi (ad esempio, questo accordo è riservato, perciò non parlarne con nessuno).
Nel 2016 un truffatore che si spacciava per CEO del produttore aerospaziale FACC ha utilizzato una finta acquisizione per indurre un dipendente a trasferire 47 milioni di dollari (link esterno a ibm.com). A seguito della truffa, il consiglio di amministrazione della società ha licenziato sia il direttore finanziario sia il CEO per aver “disatteso” i propri compiti.
Compromissione dell'account e-mail (EAC)
I truffatori assumono il controllo dell'account e-mail di un dipendente a livello non dirigenziale. L'intento è servirsene per inviare fatture contraffatte ad altre società o indurre altri dipendenti a condividere informazioni riservate. Gli autori di questi attacchi utilizzano spesso l'EAC per sottrarre credenziali di account di livello superiore che possono poi sfruttare per frodi del CEO.
Impersonificazione di avvocati
I truffatori si fingono avvocati e chiedono alla vittima di pagare una fattura o condividere informazioni sensibili. Questo schema fraudolento si avvantaggia del fatto che molte persone collaborano con avvocati e non è strano se un legale impone riservatezza.
I membri della banda BEC russa Cosmic Lynx spesso si spacciano per avvocati nell'ambito di un attacco con doppia impersonificazione (link esterno a ibm.com). Innanzitutto, il CEO della società oggetto del raggiro riceve un'e-mail in cui il CEO stesso viene presentato a un "avvocato" che assiste l'azienda in un'acquisizione o altro accordo commerciale. Quindi il falso avvocato invia un'e-mail al CEO esigendo un bonifico bancario per chiudere l'affare. In media, gli attacchi Cosmic Lynx riescono a sottrarre 1,27 milioni di dollari a ogni vittima.
Furto dati
Molti attacchi BEC prendono di mira dipendenti dei reparti risorse umane e finanziario per estorcere informazioni che permettono l'identificazione personale (PII) e altri dati sensibili utilizzabili per commettere furti di identità o lanciare ulteriori offensive.
Ad esempio, nel 2017 l'IRS aveva segnalato (link esterno a ibm.com) una frode BEC attraverso la quale venivano sottratti dati dei dipendenti: i truffatori spacciandosi per dirigenti dell'azienda chiedevano a un impiegato dell'ufficio paghe di inviare copie dei moduli fiscali dei dipendenti (contenenti il loro numero di previdenza sociale e altre informazioni sensibili). Alcuni degli stessi impiegati dell'ufficio paghe aveva ricevuto e-mail di follow-up con l'ordine di bonifici su un conto fraudolento. Gli autori dell'attacco presupponevano che coloro che ritenevano credibile la richiesta d'invio di moduli fiscali fossero ottimi obiettivi per una successiva richiesta di bonifico bancario.
Furto di merce
All'inizio del 2023 l'FBI segnalava (link esterno a ibm.com) un nuovo tipo di attacco, in cui i truffatori si spacciano per clienti aziendali per rubare prodotti all'azienda presa di mira. Utilizzando informazioni finanziarie false e fingendosi dipendenti dell'ufficio acquisti di un'altra azienda, i truffatori cominciano a trattare un acquisto consistente con pagamento posticipato. L'azienda oggetto dello schema fraudolento spedisce l'ordine, di solito materiali da costruzione o hardware per computer, ma senza poi ricevere il pagamento.
Tecnicamente, il BEC è un tipo di spear phishing, vale a dire un attacco di phishing che prende di mira uno specifico individuo o gruppo di individui. Ciò che rende il BEC unico rispetto a questo tipo di attacchi è che l'obiettivo è un dipendente o collaboratore di un business o un'organizzazione e che il truffatore finge di essere un altro dipendente o collaboratore che la vittima conosce o di cui è incline a fidarsi.
Mentre alcuni attacchi BEC sono opera di truffatori solitari, altri (vedi sopra) vengono lanciati da bande BEC. Questi gruppi operano come aziende legittime, impiegando specialisti quali esperti di lead generation a caccia di nuovi clienti, hacker capaci di introdursi negli account e-mail e scrittori professionisti in grado di confezionare e-mail di phishing prive di errori e convincenti.
Una volta che il truffatore o la banda ha scelto un'azienda da derubare, un attacco BEC segue in genere lo stesso schema.
Scelta della vittima designata
Quasi ogni business, organizzazione no-profit o pubblica amministrazione è un obiettivo adatto per attacchi BEC. Le vittime più ovvie sono le grandi organizzazioni con sostanziose risorse finanziarie e molti clienti, oltre a un numero sufficiente di transazioni affinché gli schemi BEC possano passare inosservati.
Ma gli eventi globali o locali possono condurre gli autori di attacchi BEC verso opportunità più specifiche, alcune più evidenti di altre. Ad esempio, durante la pandemia COVID-19 l'FBI aveva segnalato la presenza di truffatori BEC che fatturavano a ospedali e agenzie sanitarie, spacciandosi per venditori di attrezzature e forniture mediche. A ulteriore titolo esemplificativo, ma non meno redditizio, nel 2021 truffatori BEC avevano approfittato di progetti ben pubblicizzati a Peterborough, New Hampshire, nei settori dell'istruzione e dell'edilizia dirottando 2,3 milioni di dollari di fondi municipali su conti bancari fraudolenti (link esterno a ibm.com ).
Cernita dei dipendenti da raggirare e delle identità dei mittenti
Successivamente, i truffatori iniziano a studiare l'organizzazione prescelta e le sue attività per individuare i dipendenti a cui inviare le e-mail di phishing e le identità dei mittenti da contraffare (impersonificazione).
Le truffe BEC in genere prendono di mira i dipendenti di medio livello, ad esempio responsabili del reparto finanziario o risorse umane (HR), autorizzati a emettere pagamenti o ad accedere a dati sensibili, e propensi a soddisfare una richiesta di un senior manager o dirigente. In alcuni casi possono coinvolgere neoassunti con scarsa o nulla sensibilizzazione in tema di sicurezza e una comprensione limitata delle corrette procedure di pagamento o condivisione dei dati e approvazione.
Per l'identità del mittente, i truffatori scelgono un collega o un collaboratore che possa richiedere o influenzare in modo credibile l'azione che il dipendente oggetto del raggiro dovrebbe compiere. Le identità interne sono scelte in genere tra responsabili di alto livello, dirigenti o avvocati dell'organizzazione. Le identità esterne possono essere quelle di dirigenti di organizzazioni fornitrici o partner, ma anche omologhi o colleghi del dipendente stesso, ad esempio un fornitore abituale, un avvocato consulente in una transazione o un cliente nuovo o esistente.
Per trovare i dipendenti da raggirare e le identità del mittente da impersonificare, molti truffatori si basano sugli stessi strumenti di lead generation utilizzati da legittimi professionisti del marketing e delle vendite, ad esempio LinkedIn e altri social network, fonti di notizie aziendali e di settore, software per il prospecting e la creazione di elenchi.
Intrusione nella rete della vittima e del mittente
Non tutti gli autori di attacchi BEC intraprendono il passo di violare le reti delle organizzazioni oggetto del raggiro e dei mittenti da impersonificare. Ma quelli che lo fanno si comportano alla stregua di un malware, osservando i loro obiettivi e accumulando informazioni e privilegi di accesso per settimane prima dell'attacco vero e proprio. Ciò può consentire agli autori dell'attacco di:
Scegliere i migliori obiettivi tra i dipendenti e le identità del mittente in base ai comportamenti osservati e ai privilegi di accesso
Approfondire i dettagli su come vengono inviate le fatture e gestiti i pagamenti o le richieste di dati sensibili, in modo da simulare più efficacemente le richieste nelle loro e-mail di attacco
Determinare le date di scadenza per specifici pagamenti a fornitori, avvocati, ecc.
Intercettare una fattura o un ordine di acquisto legittimo e alterare il documento per dirottare il pagamento sul conto bancario dell'autore dell'attacco
Assumere il controllo dell'account e-mail del mittente (vedi sopra compromissione dell'account e-mail), per inviare e-mail di attacco direttamente dall'account e talvolta persino inserirle in legittimi scambi di e-mail, per la massima autenticità.
Preparazione e lancio dell'attacco
Un'impersonificazione convincente è la chiave del successo in una sfida BEC. Per questo i truffatori creano le loro e-mail di attacco puntando alla massima autenticità e credibilità.
Nel caso in cui non abbiano violato l'account del mittente, gli autori dell'attacco ne creano uno fittizio contraffacendo l'indirizzo e-mail del mittente in modo da apparire legittimo. Possono ad esempio coniare nomi di fantasia o nomi di dominio storpiati, quali jsmith@company.com o jane.smith@cornpany.com anziché jane.smith@company.com. Possono aggiungere altre segnalazioni visuali, come una firma con logo aziendale del mittente o un'informativa sulla privacy dettagliata (e falsa).
Un elemento chiave dell'e-mail di attacco è il pretesto, una storia falsa ma plausibile scritta per conquistare la fiducia della vittima e convincerla o spingerla a fare ciò a cui mira l'autore. I pretesti più efficaci combinano una situazione riconoscibile con un senso di urgenza e implicite conseguenze. Un messaggio da un manager o CEO quale: Sto per salire su un aereo: puoi aiutarmi a saldare questa fattura (allegata) per evitare penali? è un classico esempio di pretesto BEC.
A seconda della richiesta, i truffatori possono persino creare siti Web falsi, registrare finte aziende o anche registrare un numero di telefono inventato a cui la vittima può chiedere conferma
Le truffe BEC sono tra i crimini informatici più difficili da prevenire perché raramente utilizzano malware rilevabili dagli strumenti di sicurezza. Gli autori di questo tipo di attacco si affidano piuttosto all’inganno e alla manipolazione. Non hanno neppure bisogno di violare i sistemi dell'azienda oggetto del raggiro. Possono infatti sottrarre alle vittime somme ingenti violando i sistemi di un fornitore o un cliente, o anche solo spacciandosi per costoro. Si spiega così perché, secondo il rapporto Cost of a Data Breach, gli attacchi BEC impiegano in media 308 giorni per essere identificati e contenuti, il secondo tempo di risoluzione più lungo tra tutti i tipi di violazione.
Ciò premesso, per difendersi da queste truffe le aziende possono adottare le seguenti misure:
Corsi di sensibilizzazione sulla sicurezza informatica: possono aiutare i dipendenti a comprendere i pericoli di un'eccessiva condivisione sulle piattaforme social e relative app che i truffatori utilizzano per scovare le potenziali vittime e indagare su di loro. La formazione può anche aiutare i dipendenti a individuare eventuali tentativi di BEC e adottare le procedure migliori, quali la verifica di richieste di pagamento di importo elevato prima di soddisfarle.
Strumenti di sicurezza dell'e-mail: non sempre sono in grado di rilevare tutte le e-mail BEC, in particolare quelle provenienti da account compromessi. Tuttavia, possono contribuire a individuare indirizzi e-mail oggetto di spoofing. Alcuni strumenti sono anche in grado di segnalare contenuti e-mail sospetti, possibile indizio di un tentativo BEC.
Autenticazione a due o più fattori: può rendere più difficile l'intrusione negli account e-mail da parte di autori di attacchi BEC.
Strumenti di sicurezza aziendale come SOAR (Security Orchestration, Automation and Response), SIEM (Security Information and Event Management), Endpoint Detection and Response (EDR) e Extended Detection and Response (XDR): possono aiutare i team di sicurezza a identificare e fermare gli attacchi BEC più rapidamente individuando eventuali tentativi di sfruttamento delle vulnerabilità della rete e segnalando attività che possono alludere a eventi di ricognizione da parte degli hacker, a livello di endpoint, account e-mail e altro.
Individua minacce avanzate che altri semplicemente non riescono a cogliere. QRadar SIEM sfrutta l'analisi e l'intelligenza artificiale per monitorare le informazioni sulle minacce, le anomalie della rete e del comportamento degli utenti e focalizzare l'attenzione là dove è necessario, mettendo in atto le dovute misure correttive.
IBM Trusteer Rapport aiuta le istituzioni finanziarie a rilevare e prevenire le infezioni da malware e gli attacchi di phishing proteggendo i clienti retail e business.
Proteggi gli endpoint dagli attacchi informatici, rileva i comportamenti anomali e correggili quasi in tempo reale con questa soluzione di rilevamento e risposta degli endpoint (EDR) evoluta ma facile da usare.
Informati su novità, tendenze e tecniche di prevenzione BEC su Security Intelligence, il blog della leadership di pensiero ospitato da IBM Security.
Il ransomware è un malware che tiene in ostaggio i dispositivi e i dati delle vittime fino al pagamento di un riscatto.
Giunto alla sua 17a edizione, questo report condivide le conoscenze più aggiornate sul panorama minacce in espansione e offre consigli per risparmiare tempo e limitare le perdite.