Il Business Email Compromise (BEC), altrimenti noto come frode del CEO, è un tipo di attacco di phishing in cui un criminale informatico impersona un dirigente di alto livello per convincere un dipendente, un cliente o un venditore a trasferire denaro su un conto fraudolento o a rivelare informazioni sensibili.

Compromettendo gli account di posta elettronica ufficiali, i criminali possono monitorare l’attività online e determinare chi possiede le credenziali per avviare i trasferimenti di denaro. Nella maggior parte dei casi, gli aggressori fingono di essere l’amministratore delegato, il direttore finanziario o un altro dirigente di livello C, e di solito combinano una serie di  tecniche di ingegneria sociale per manipolare l’utente ad agire.

Negli ultimi anni si è registrato un forte aumento del numero di attacchi Business Email Compromise e, secondo l’ultimo rapporto di valutazione dei rischi per la sicurezza delle e-mail realizzato dalla società di gestione delle e-mail Mimecast, gli attacchi BEC sono aumentati dell’80% solo nell’ultimo trimestre.

Le perdite globali dovute alla Business Email Compromise hanno superato i 12,5 miliardi di dollari e le vittime possono subire perdite sostanziali, come è emerso in una serie di recenti attacchi di alto profilo.

Nel marzo 2018, la catena di cinema francese Pathé è stata vittima di una sofisticata truffa Business Email Compromise che le è costata oltre 19 milioni di euro.

L’audace colpo è stato messo a segno quando i truffatori si sono spacciati per l’amministratore delegato e hanno convinto l’amministratore delegato e il direttore finanziario della sede olandese del marchio a trasferire i fondi in una serie di cinque bonifici consecutivi.

Nonostante i sospetti, i criminali sono riusciti a rendere la loro truffa il più convincente possibile, creando email quasi identiche al dominio ufficiale di Pathé. L’azienda ha perso il 10% dei suoi guadagni totali ed entrambi i dirigenti sono stati licenziati.

L’attacco ha dimostrato l’attenzione ai dettagli che i criminali informatici usano per infiltrarsi in un’azienda e le conseguenze di vasta portata che un attacco BEC può avere su un’impresa.

Come funziona una truffa di Business Email Compromise

Come funziona la compromissione delle e-mail aziendali

A differenza dei tradizionali Gli attacchi di phishing, che tendono a colpire un gran numero di dipendenti, gli attacchi BEC sono altamente focalizzati e mirati. I criminali dedicano molto tempo alla ricerca di persone che occupano posizioni aziendali di alto livello prima di sferrare un attacco.

Per far sì che la corrispondenza appaia il più convincente possibile, i truffatori spulciano i siti web delle aziende, le fonti online e i siti di social media come LinkedIn per raccogliere quante più informazioni possibili sulla loro potenziale vittima.

Non appena avranno completato la loro ricerca, utilizzeranno una tecnica mirata, come ad esempio Spear Phishing per ottenere l’accesso ai sistemi aziendali. Una volta ottenuto l’accesso, i criminali possono osservare da vicino come vengono effettuate le transazioni finanziarie prima di sferrare un attacco.

Il criminale invierà quindi una falsa e-mail da quello che sembra essere l’amministratore delegato, chiedendo un trasferimento di fondi urgente da parte di un dipendente dell’organizzazione. L’obiettivo di alto livello aiuta l’email a passare attraverso i filtri antispam e l’uso di un indirizzo email contraffatto aggiunge ulteriore legittimità alla richiesta.

Il livello di dettaglio è tale che spesso i criminali scelgono di sferrare l’attacco quando il dirigente è fuori per lavoro e non può verificare personalmente la richiesta. Se la vittima è caduta nella truffa, il denaro che ha trasferito verrà rapidamente inviato a conti situati all’estero, rendendo difficile il recupero del denaro rubato.

Tipi di truffe con compromissione delle email aziendali

Tipi di truffe di Business Email Compromise

Frode del CEO – In questo tipo di attacco, i criminali informatici si fingono il CEO o un altro dirigente di alto livello. Una volta che il loro account è stato violato, e l’indirizzo e-mail è stato contraffatto, invieranno un’e-mail a un dipendente richiedendo un trasferimento di fondi su un conto che hanno appositamente creato. Spesso le e-mail vengono segnalate come urgenti per scoraggiare il dipendente dal verificare la richiesta o dal discuterne con un altro membro del personale.

Lo schema della fattura falsa – Questa particolare truffa viene spesso messa in atto contro le aziende che utilizzano molti fornitori esteri. L’azienda riceve un’e-mail da quello che sembra essere uno dei suoi attuali fornitori che le chiede di cambiare la destinazione del pagamento. Tutti i pagamenti saranno poi trasferiti direttamente sul conto del truffatore.

Compromissione dell’account – Questo tipo di attacco tende a essere più comune nelle piccole imprese in cui la fatturazione viene gestita direttamente tramite e-mail. I criminali informatici violano l’account e-mail di un dipendente e intercettano tutte le e-mail che contengono una fattura. Una volta scelto l’obiettivo, contattano il fornitore per informarlo che il pagamento è stato un problema e gli chiedono di inviarlo nuovamente a un altro account fraudolento che hanno creato.

Impersonificazione di un avvocato – In questa truffa, i criminali si spacciano per lo studio legale di un’azienda e chiedono il trasferimento urgente di fondi per far fronte a una controversia legale o a una fattura non pagata. Al dipendente viene detto che la questione è strettamente confidenziale per ridurre la possibilità che parli della richiesta con qualcun altro. Gli attacchi avvengono spesso alla fine della settimana lavorativa per creare ulteriore pressione sul dipendente affinché agisca rapidamente.

Furto di dati – Questa è l’unica truffa BEC che non richiede un trasferimento bancario diretto. Gli attacchi di furto di dati si verificano quando un criminale informatico compromette l’account di posta elettronica di un dirigente e chiede che gli vengano inviate informazioni aziendali sensibili. Questi tipi di attacchi tendono a colpire i dipartimenti HR e Finance e spesso sono il precursore di un attacco informatico più grande e dannoso.

Segnali di allarme di un attacco di Business Email Compromise

Attacchi BEC

  • Trasferimento di fondi di grandi dimensioni a un destinatario con cui l’azienda non ha mai avuto a che fare in precedenza.
  • Trasferimenti avviati verso la fine della giornata/settimana lavorativa.
  • Email che contengono un linguaggio urgente e sono di natura segreta.
  • Piccole modifiche a un indirizzo e-mail che imita un indirizzo aziendale legittimo.
  • Il conto del destinatario non ha mai ricevuto trasferimenti di denaro di grandi dimensioni in passato.
  • Il conto del destinatario è un conto personale anziché un conto aziendale registrato.

Come prevenire gli attacchi di compromissione delle e-mail aziendali

come prevenire gli attacchi di Business Email Compromise

  • La formazione sulla sicurezza è uno degli strumenti più efficaci per combattere gli attacchi BEC. Una formazione regolare garantisce che il personale sia in grado di riconoscere le e-mail dannose, le tattiche di social engineering, di identificare le richieste sospette e di seguire i protocolli corretti per gestire i trasferimenti di denaro.
  • Formazione per dirigenti di livello C – È inoltre fondamentale che i dirigenti di livello C ricevano una formazione specifica per il loro ruolo che affronti le minacce uniche che devono affrontare quotidianamente.
  • I dipendenti devono interrogare e verificare tutte le richieste riservate, soprattutto quelle ritenute urgenti dal CEO o da altri dirigenti dell’azienda.
  • Ridurre al minimo il numero di dipendenti che hanno l’autorità di trasferire fondi.
  • Usa l’autenticazione a più fattori su tutti gli account e-mail.
  • Implementare un processo di verifica in due fasi per tutti i pagamenti che includa una verifica non via e-mail, come un’autenticazione telefonica o verbale.
  • Sviluppare procedure scritte per l’approvazione di tutte le transazioni finanziarie.
  • Invia tutte le e-mail attraverso un server crittografato.
  • Non pubblicare informazioni sensibili sui siti web aziendali o sui social media.
  • Considera l’uso di un banner per le email che notifica ai dipendenti se un’email proviene da una fonte esterna.

I dipendenti rappresentano la più grande minaccia alla sicurezza di un’organizzazione, quindi è fondamentale che siano dotati delle competenze necessarie per prevenire un attacco informatico. MetaLearning Fusion è la nuova generazione di eLearning ed è stata progettata appositamente per fornire al tuo personale la migliore formazione possibile in materia di sicurezza informatica e privacy. Le organizzazioni possono creare corsi su misura per il proprio personale attingendo da un’ampia libreria di brevi corsi di eLearning.  Contattaci per avere maggiori informazioni su come MetaLearning può essere utilizzato per trasformare la formazione sulla sicurezza informatica all’interno della tua organizzazione.