Business Email Compromise | Crédit Agricole

Business Email Compromise

Si tratta di una truffa via e-mail di spear phishing il cui intento è estorcere con l'inganno denaro o dati sensibili a un business.

Come si svolge?

In un attacco BEC, un cyber criminale (o un gruppo di cyber criminali) invia a dipendenti dell'organizzazione presa di mira e-mail che risultano all’apparenza provenire da un collega, da figure apicali dell'azienda o da un fornitore, un partner, un cliente o altro affiliato. Le e-mail vengono redatte in modo da indurre i dipendenti a pagare fatture fraudolente, effettuare bonifici su conti bancari fasulli o divulgare informazioni sensibili come dati dei clienti, proprietà intellettuali o informazioni finanziarie aziendali.

Per far sembrare legittime le proprie e-mail, gli autori dell'attacco BEC effettuano un’attenta ricerca su dipendenti e soggetti/aziende da impersonare. Usano tecniche di ingegneria sociale, come lo spoofing di indirizzi e-mail, per costruire e-mail di attacco che imitino in tutto e per tutto messaggi inviati dal reale mittente. In alcuni casi, i truffatori forzano l'account e-mail del mittente e lo dirottano, rendendo le e-mail di attacco ancora più credibili, se non praticamente indistinguibili dai messaggi autentici.

L’attacco BEC è un attacco di spear phishing nel quale l'obiettivo è un dipendente o collaboratore di una società/organizzazione ed in cui il truffatore finge di essere un altro dipendente o collaboratore che la vittima conosce o di cui è incline a fidarsi.

Esistono diversi tipi di attacchi BEC:

Invoice Fraud o “truffa della fattura”

In questi casi, l'autore dell'attacco BEC finge di essere un fornitore con cui collabora l'azienda e invia al dipendente di destinazione un'e-mail con allegata una finta fattura; quando l'azienda paga, il denaro viene intascato dal truffatore. Per essere convincente, l'autore dell'attacco può intercettare fatture effettive dei fornitori e modificarle per dirottare i pagamenti sui propri conti bancari. In alcuni casi la mail contenente la reale fattura viene seguita da falsa mail del fornitore con indicazione di un nuovo iban su cui effettuare il pagamento.

CEO Fraud

I truffatori in questo caso fingono di essere un dirigente o una figura apicale dell’azienda, solitamente il CEO, e chiedono ad un dipendente di trasferire denaro ad una terza parte, spesso con il pretesto di concludere un affare “riservato”.

Normalmente in questi casi i frodatori cercano di creare un senso di urgenza, in modo che la persona individuata come punto debole agisca rapidamente e in modo impulsivo, o di segretezza, inducendo la vittima a evitare di consultare i colleghi (si tratta di un accordo riservato, non parlarne con nessuno).

Compromissione dell'account e-mail (EAC)

I truffatori assumono il controllo dell'account e-mail di un dipendente. Lo scopo è quello di servirsene per inviare fatture contraffatte ad altre società o indurre altri dipendenti a condividere informazioni riservate. Gli autori di questi attacchi utilizzano spesso questa tecnica per sottrarre credenziali di account di livello superiore che possono poi utilizzare per frodi del CEO.

Impersonificazione di un avvocato

Questo tipo di attacco sfrutta il fatto che i dipendenti di basso livello di un'organizzazione sono propensi a soddisfare le richieste di un avvocato o di un rappresentante legale, perché non sanno come convalidare la richiesta. Questo approccio spesso fa sembrare la richiesta sensibile al tempo e confidenziale, per evitare una verifica indipendente.

Furto di dati

Molti attacchi BEC vengono indirizzati a operatori dei reparti Risorse Umane e Finanziario per sottrarre informazioni ed altri dati sensibili. Queste informazioni possono poi essere vendute sul Dark Web o utilizzate per pianificare ed eseguire attacchi futuri.

Difesa dagli attacchi BEC

Le truffe BEC sono tra i crimini informatici più difficili da prevenire perché raramente utilizzano malware rilevabili dagli strumenti di sicurezza. Gli autori di questo tipo di attacco si affidano piuttosto all’inganno e alla manipolazione. Non hanno neppure bisogno di violare i sistemi dell'azienda oggetto del raggiro. Possono infatti sottrarre alle vittime somme ingenti violando i sistemi di un fornitore o un cliente, o anche solo spacciandosi per costoro. Ciò premesso, per difendersi da queste truffe le aziende possono adottare le seguenti misure:

Corsi di sensibilizzazione sulla sicurezza informatica

possono aiutare i dipendenti a comprendere i pericoli di un'eccessiva condivisione sulle piattaforme social e relative App che i truffatori utilizzano per scovare le potenziali vittime e indagare su di loro. La formazione può anche aiutare i dipendenti a individuare eventuali tentativi di BEC e adottare le procedure migliori, quali la verifica di richieste di pagamento di importo elevato prima di soddisfarle.

Strumenti di sicurezza dell'e-mail

non sempre sono in grado di rilevare tutte le e-mail BEC, in particolare quelle provenienti da account compromessi. Tuttavia, possono contribuire a individuare indirizzi e-mail oggetto di spoofing. Alcuni strumenti sono anche in grado di segnalare contenuti e-mail sospetti, possibile indizio di un tentativo BEC.

Strumenti di sicurezza aziendale

possono aiutare i team di sicurezza a identificare e fermare gli attacchi BEC più rapidamente individuando eventuali tentativi di sfruttamento delle vulnerabilità della rete e segnalando attività che possono alludere a eventi di ricognizione da parte degli hacker.