Cos'è la compromissione dell'e-mail aziendale (BEC)?

Gli esperti di cybersecurity e l’FBI identificano sei tipi principali di attacchi BEC.
 

Contraffazione di fatture

L'autore dell'attacco BEC finge di essere un fornitore con cui l'azienda collabora e invia al dipendente bersaglio un'email con allegata una finta fattura. Quando l'azienda paga la fattura, il denaro viene intascato dal truffatore. Per essere convincente, l'autore dell'attacco può intercettare fatture effettive dei fornitori e modificarle per dirottare i pagamenti sui propri conti bancari.

È opportuno notare che  alcune sentenze hanno stabilito (link esterno a ibm.com) che le aziende che si lasciano ingannare da fatture contraffatte sono comunque tenute ad assolvere i propri impegni nei confronti delle loro reali controparti.

Uno dei più grandi raggiri basati su fatture fasulle è stato perpetrato ai danni di Facebook e Google. Dal 2013 al 2015 l'autore dell'attacco si è spacciato per Quanta Computer, produttore di hardware con cui collaborano entrambe le società, sottraendo 98 milioni di dollari a Facebook e 23 milioni di dollari a Google. Benché il truffatore sia stato arrestato ed entrambe le società abbiano recuperato la maggior parte di quanto estorto, questo esito è raro per le truffe BEC.
 

Frode del CEO

I truffatori fingono di essere un dirigente, di solito un amministratore delegato, e chiedono a un dipendente di trasferire del denaro da qualche parte. Questa richiesta è spesso sotto il pretesto di chiudere un affare, pagare una fattura scaduta o persino acquistare buoni regalo per i colleghi.

Gli schemi di frode del CEO spesso creano un senso di urgenza, spingendo il bersaglio ad agire rapidamente e in modo avventato, ad esempio "Questa fattura è scaduta e se non la paghiamo immediatamente perderemo il servizio". Un'altra tecnica consiste nel trasmettere una sensazione di segretezza per impedire al bersaglio di consultare i colleghi, ad esempio "Questo accordo è riservato, quindi non ne parli con nessuno".

Nel 2016 un truffatore che si spacciava per CEO del produttore aerospaziale FACC ha utilizzato una finta acquisizione per indurre un dipendente a trasferire 47 milioni di dollari (link esterno a ibm.com). A seguito della truffa, il consiglio di amministrazione della società ha licenziato sia il direttore finanziario sia il CEO per aver “disatteso” i propri compiti.
 

Compromissione dell'account e-mail (EAC)

I truffatori assumono il controllo dell'account e-mail di un dipendente a livello non dirigenziale e poi inviano fatture false ad altre società o inducono altri dipendenti a condividere informazioni riservate. Gli autori di questi attacchi utilizzano spesso l'EAC per sottrarre credenziali di account di livello superiore che possono poi sfruttare per frodi del CEO. 

Impersonificazione di avvocati

I truffatori si fingono avvocati e chiedono alla vittima di pagare una fattura o condividere informazioni sensibili. Questo schema fraudolento si avvantaggia del fatto che molte persone collaborano con avvocati e non è strano se un legale impone riservatezza. 

I membri della banda BEC russa Cosmic Lynx spesso si spacciano per avvocati nell'ambito di un attacco con doppia impersonificazione (link esterno a ibm.com). Innanzitutto, il CEO della società oggetto del raggiro riceve un'e-mail in cui il CEO stesso viene presentato a un "avvocato" che assiste l'azienda in un'acquisizione o altro accordo commerciale. Quindi il falso avvocato invia un'e-mail al CEO esigendo un bonifico bancario per chiudere l'affare. In media, gli attacchi Cosmic Lynx riescono a sottrarre 1,27 milioni di dollari a ogni vittima.
 

Furto dati

Molti attacchi BEC prendono di mira i dipendenti dei dipartimenti risorse umane e finanziario per estorcere informazioni di identificazione personale (PII) e altri dati sensibili con cui commettere furti di identità o crimini informatici.

Ad esempio, nel 2017, l'IRS ha segnalato (link esterno a ibm.com) una frode BEC attraverso la quale venivano sottratti dati dei dipendenti. I truffatori, spacciandosi per dirigenti dell'azienda, chiedevano a un impiegato dell'ufficio paghe di inviare copie dei moduli fiscali dei dipendenti (contenenti il loro numero di previdenza sociale e altre informazioni sensibili). Alcuni degli stessi impiegati dell'ufficio paghe avevano ricevuto e-mail di follow-up con l'ordine di bonifici su un conto fraudolento. Gli autori dell'attacco presupponevano che coloro che ritenevano credibile la richiesta d'invio di moduli fiscali fossero ottimi obiettivi per una successiva richiesta di bonifico bancario.
 

Furto di merce

All'inizio del 2023, l'FBI ha segnalato (link esterno a ibm.com) un nuovo tipo di attacco, in cui i truffatori si spacciano per clienti aziendali per rubare prodotti all'azienda presa di mira. Utilizzando informazioni finanziarie false e fingendosi dipendenti dell'ufficio acquisti di un'altra azienda, i truffatori cominciano a trattare un acquisto consistente con pagamento posticipato. L'azienda oggetto dello schema fraudolento spedisce l'ordine, di solito materiali da costruzione o hardware per computer, ma senza poi ricevere il pagamento.

Tecnicamente, il BEC è un tipo di spear phishing, vale a dire un attacco di phishing che prende di mira uno specifico individuo o gruppo di individui. Il BEC è un tipo particolare di spear phishing, in quanto prende di mira i dipendenti o i collaboratori di un'azienda o di un'organizzazione; il truffatore finge di essere un collega che la vittima conosce o di cui è incline a fidarsi.

Mentre alcuni attacchi BEC sono opera di truffatori solitari, altri vengono lanciati da bande BEC. Questi gruppi operano come aziende legittime, impiegando specialisti quali esperti di generazione di lead a caccia di nuovi clienti, hacker capaci di introdursi negli account e-mail e scrittori professionisti in grado di confezionare e-mail di phishing prive di errori e convincenti. 

Una volta che il truffatore o la banda ha scelto un'azienda da derubare, un attacco BEC segue in genere lo stesso schema.
 

Scelta della vittima designata

Quasi ogni business, organizzazione no-profit o pubblica amministrazione è un obiettivo adatto per attacchi BEC. Le vittime più ovvie sono le grandi organizzazioni con sostanziose risorse finanziarie e molti clienti, oltre a un numero sufficiente di transazioni affinché gli schemi BEC possano passare inosservati.

Ma gli eventi globali o locali possono condurre gli autori di attacchi BEC verso opportunità più specifiche, alcune più evidenti di altre. Ad esempio, durante la pandemia da COVID-19 l'FBI aveva segnalato la presenza di truffatori BEC che fatturavano a ospedali e agenzie sanitarie, spacciandosi per venditori di attrezzature e forniture mediche.

A ulteriore titolo esemplificativo, ma non meno redditizio, nel 2021 truffatori BEC avevano approfittato di progetti ben pubblicizzati a Peterborough, New Hampshire, nei settori dell'istruzione e dell'edilizia dirottando 2,3 milioni di dollari di fondi municipali su conti bancari fraudolenti (link esterno a ibm.com ).
 

Cernita dei dipendenti da raggirare e delle identità dei mittenti

Successivamente, i truffatori iniziano a studiare l'organizzazione prescelta e le sue attività per individuare i dipendenti a cui inviare le e-mail di phishing e le identità dei mittenti da contraffare (impersonificazione).

Le truffe BEC in genere prendono di mira i dipendenti di medio livello, ad esempio responsabili del reparto finanziario o risorse umane (HR), autorizzati a emettere pagamenti o ad accedere a dati sensibili, e propensi a soddisfare una richiesta di un senior manager o dirigente. In alcuni casi possono coinvolgere neoassunti con scarsa o nulla sensibilizzazione in tema di sicurezza e una comprensione limitata delle corrette procedure di pagamento o condivisione dei dati e approvazione.

Per l'identità del mittente, i truffatori scelgono un collega o un collaboratore che possa richiedere o influenzare in modo credibile l'azione che il dipendente oggetto del raggiro dovrebbe compiere. Le identità interne sono scelte in genere tra responsabili di alto livello, dirigenti o avvocati dell'organizzazione.

Le identità esterne possono essere quelle di dirigenti di organizzazioni fornitrici o partner, ma anche omologhi o colleghi del dipendente stesso, ad esempio un fornitore abituale, un avvocato consulente in una transazione o un cliente nuovo o esistente.

Per trovare i dipendenti da raggirare e le identità del mittente da impersonificare, molti truffatori si basano sugli stessi strumenti di lead generation utilizzati da legittimi professionisti del marketing e delle vendite, ad esempio LinkedIn e altri social network, fonti di notizie aziendali e di settore, software per il prospecting e la creazione di elenchi.
 

Intrusione nella rete della vittima e del mittente

Non tutti gli autori di attacchi BEC intraprendono il passo di violare le reti delle organizzazioni oggetto del raggiro e dei mittenti da impersonificare. Ma coloro che si comportano come un malware osservano gli obiettivi e accumulano informazioni e privilegi di accesso per settimane prima dell'attacco vero e proprio. Ciò può consentire agli autori dell'attacco di:

• Scegliere i migliori obiettivi tra i dipendenti e le identità del mittente in base ai comportamenti osservati e ai privilegi di accesso.
   

• Approfondire i dettagli su come vengono inviate le fatture e gestiti i pagamenti o le richieste di dati sensibili, in modo da simulare più efficacemente le richieste nelle loro e-mail di attacco.
   

• Determinare le date di scadenza per specifici pagamenti a fornitori, avvocati, ecc.
   

• Intercettare una fattura o un ordine di acquisto legittimo e alterare il documento per dirottare il pagamento sul conto bancario dell'autore dell'attacco.
   

• Assumere il controllo dell'account e-mail del mittente, per inviare e-mail di attacco direttamente dall'account e talvolta persino inserirle in legittimi scambi di e-mail, per la massima autenticità.
   

Preparazione e lancio dell'attacco

Un'impersonificazione convincente è la chiave del successo in una sfida BEC. Per questo i truffatori creano le loro e-mail di attacco puntando alla massima autenticità e credibilità.

Nel caso in cui non abbiano violato l'account del mittente, gli autori dell'attacco ne creano uno fittizio contraffacendo l'indirizzo e-mail del mittente in modo da apparire legittimo. Possono ad esempio coniare nomi di fantasia o nomi di dominio scritti in modo errato, come jsmith@company.com o jane.smith@cornpany.com anziché jane.smith@company.com. Possono aggiungere altri elementi visivi, come una firma con logo aziendale del mittente o un'informativa sulla privacy dettagliata (e falsa).

Un elemento chiave dell'e-mail di attacco è il pretesto, una storia falsa ma plausibile scritta per conquistare la fiducia della vittima e convincerla o spingerla a fare ciò a cui mira l'autore. I pretesti più efficaci combinano una situazione riconoscibile con un senso di urgenza e implicite conseguenze. Un messaggio da un manager o CEO quale: "Sto per salire su un aereo: puoi aiutarmi a saldare questa fattura (allegata) per evitare penali?" è un classico esempio di pretesto BEC.

A seconda della richiesta, i truffatori possono persino creare siti web falsi, registrare finte aziende o anche registrare un numero di telefono inventato a cui la vittima può chiedere conferma.

Le truffe BEC sono tra i crimini informatici più difficili da prevenire perché raramente utilizzano malware rilevabili dagli strumenti di sicurezza. Gli autori di questo tipo di attacco si affidano piuttosto all’inganno e alla manipolazione. I truffatori non hanno nemmeno bisogno di violare l'azienda presa di mira.

Possono sottrarre ingenti somme alle vittime violando, o anche semplicemente impersonando, un fornitore o un cliente. Si spiega così perché, secondo il report Cost of a Data Breach, gli attacchi BEC impiegano in media 308 giorni per essere identificati e contenuti, il secondo tempo di risoluzione più lungo tra tutti i tipi di violazione.

Ciò premesso, per difendersi da queste truffe le aziende possono adottare le seguenti misure:

• Corsi di sensibilizzazione sulla sicurezza informatica: possono aiutare i dipendenti a comprendere i pericoli di un'eccessiva condivisione sulle piattaforme social e relative app che i truffatori utilizzano per scovare le potenziali vittime e indagare su di loro. La formazione può anche aiutare i dipendenti a individuare eventuali tentativi di BEC e adottare le procedure migliori, quali la verifica di richieste di pagamento di importo elevato prima di soddisfarle.

• Strumenti di sicurezza delle e-mail: non sempre sono in grado di rilevare tutte le e-mail BEC, in particolare quelle provenienti da account compromessi. Tuttavia, possono contribuire a individuare indirizzi e-mail oggetto di spoofing. Alcuni strumenti sono anche in grado di segnalare contenuti e-mail sospetti, possibile indizio di un tentativo di BEC. 

• Autenticazione a due o più fattori: può rendere più difficile l'intrusione negli account e-mail da parte di autori di attacchi BEC. 

• Gli strumenti di sicurezza aziendale possono aiutare i team di sicurezza a bloccare più rapidamente gli attacchi BEC, identificando i tentativi di sfruttare le vulnerabilità della rete e segnalando attività sugli endpoint, negli account di posta elettronica e altrove, che potrebbero indicare che gli hacker stanno effettuando ricognizioni. Questi strumenti includono:
  • Orchestrazione della sicurezza
  • automazione e risposta (SOAR)
  • Security Information and Event Management (SIEM)
  • rilevamento e risposta degli endpoint (EDR) 
  • rilevamento e risposta estesi (XDR)