Business Email Compromise (BEC), altrimenti noto come frode CEO, è un tipo di attacco di phishing in cui un criminale informatico impersona un dirigente di alto livello al fine di convincere un dipendente, un cliente o un venditore a trasferire denaro su un conto fraudolento o rivelare informazioni sensibili.
Compromettendo gli account e-mail ufficiali, i criminali possono monitorare l'attività online e determinare chi ha le credenziali per avviare i trasferimenti di denaro. Nella maggior parte dei casi, gli aggressori fingono di essere il CEO, il CFO o un altro dirigente di livello C, e in genere combinano una serie di tecniche di ingegneria sociale per manipolare l'utente ad agire.
Negli ultimi anni, c'è stato un forte aumento del numero di attacchi Business Email Compromise, e secondo l'ultimo rapporto di valutazione dei rischi per la sicurezza della posta elettronica della società di gestione della posta elettronica Mimecast, gli attacchi BEC sono aumentati dell'80% solo nell'ultimo trimestre.
Le perdite globali dovute al Business Email Compromise hanno superato i 12,5 miliardi di dollari, e le vittime possono subire perdite sostanziali che sono state evidenti in una serie di recenti attacchi di alto profilo.
Nel marzo 2018, la catena di cinema francese Pathé è stata vittima di una sofisticata truffa Business Email Compromise che è costata loro oltre 19 milioni di euro.
L'audace furto è stato messo a segno quando i truffatori hanno impersonato l'amministratore delegato e convinto l'amministratore delegato e il direttore finanziario dell'ufficio olandese del marchio a trasferire i fondi in una serie di cinque trasferimenti di denaro consecutivi.
Nonostante i sospetti, i criminali sono riusciti a far sembrare la loro truffa il più convincente possibile, creando email quasi identiche al dominio ufficiale di Pathé. L'azienda ha perso il 10% dei suoi guadagni totali ed entrambi i dirigenti sono stati licenziati dal loro lavoro.
L'attacco ha dimostrato l'attenzione ai dettagli che i criminali informatici useranno per infiltrarsi in un'azienda, e le conseguenze di vasta portata che un attacco BEC può avere su un business.
Come funziona una truffa di Business Email Compromise

A differenza dei tradizionali attacchi di phishing che tendono a colpire un gran numero di dipendenti, gli attacchi BEC sono altamente focalizzati e mirati. I criminali passano molto tempo a ricercare individui in posizioni aziendali di alto livello prima di lanciare un attacco.
Per rendere la corrispondenza il più convincente possibile, i truffatori setacciano i siti web aziendali, le fonti online e i siti di social media come LinkedIn per raccogliere quante più informazioni possibili sulla loro potenziale vittima.
Non appena hanno completato la loro ricerca, useranno una tecnica mirata come lo Spear Phishing per ottenere l'accesso ai sistemi aziendali. Una volta ottenuto l'accesso, i criminali possono osservare da vicino come vengono effettuate le transazioni finanziarie prima di lanciare un attacco.
Il criminale invierà quindi un'email falsa da quello che sembra essere il CEO, richiedendo un trasferimento urgente di fondi da un dipendente all'interno dell'organizzazione. Il targeting di alto livello aiuta l'email a scivolare attraverso i filtri antispam, e l'uso di un indirizzo email falsificato aggiunge ulteriore legittimità alla richiesta.
Il livello di dettaglio è tale che i criminali spesso scelgono di lanciare il loro attacco quando il Senior Executive è fuori per lavoro e non può verificare personalmente la richiesta. Se la vittima è caduta nella truffa, tutto il denaro che ha trasferito sarà rapidamente inviato a conti situati all'estero, il che rende difficile recuperare il denaro rubato.
Tipi di truffe di compromissione delle e-mail aziendali

Frode del CEO - In questo tipo di attacco, i criminali informatici si fingono il CEO o un altro dirigente di alto livello. Una volta che il loro account è stato violato e l'indirizzo e-mail è stato falsificato, invieranno un'e-mail a un dipendente richiedendo un trasferimento di fondi su un conto che hanno specificamente impostato. Le email saranno spesso contrassegnate come urgenti per scoraggiare il dipendente dal verificare la richiesta o discuterne con un altro membro del personale.
Lo schema della fattura falsa - Questa particolare truffa è spesso usata contro le aziende che usano molti fornitori stranieri. L'azienda riceverà un'email da quello che sembra essere uno dei suoi attuali fornitori, chiedendo loro di cambiare la destinazione del pagamento. Tutti i pagamenti saranno poi trasferiti direttamente sul conto del truffatore.
Compromissione dell'account - Questo tipo di attacco tende ad essere più comune tra le piccole imprese dove qualsiasi fatturazione è gestita direttamente tramite e-mail. I criminali informatici entreranno nell'account di posta elettronica di un dipendente e intercetteranno tutte le e-mail che contengono una fattura. Una volta scelto il loro obiettivo, contatteranno il venditore e lo informeranno che c'è stato un problema con il loro pagamento e gli chiederanno di reinviarlo a un altro account fraudolento che hanno creato.
Impersonificazione di un avvocato / procuratore - In questa truffa, i criminali si spacciano per lo studio legale di una società e richiedono il trasferimento urgente di fondi per affrontare una controversia legale o una fattura non pagata. Al dipendente viene detto che la questione è strettamente confidenziale per ridurre la possibilità di discutere la richiesta con qualcun altro. Gli attacchi spesso avvengono alla fine della settimana lavorativa per creare una pressione extra sul dipendente affinché agisca rapidamente.
Furto di dati - Questa è l'unica truffa BEC che non richiede un trasferimento bancario diretto. Gli attacchi di furto di dati si verificano quando un criminale informatico compromette l'account di posta elettronica di un alto dirigente e richiede l'invio di informazioni aziendali sensibili. Questi tipi di attacchi tendono a colpire i dipartimenti HR e Finanza e sono spesso il precursore di un attacco informatico più grande e dannoso.
Segnali di avvertimento di un attacco di compromissione della posta elettronica aziendale

- Grande trasferimento di fondi a un destinatario con cui l'azienda non ha mai avuto a che fare in precedenza.
- Trasferimenti iniziati verso la fine della giornata/settimana lavorativa.
- Le e-mail che contengono un linguaggio urgente e sono di natura segreta.
- Piccole modifiche a un indirizzo e-mail che imita un indirizzo aziendale legittimo.
- Il conto del destinatario non ha precedenti di trasferimenti di denaro di grandi dimensioni in passato.
- Il conto del destinatario è un conto personale invece di un conto commerciale registrato.
Come prevenire gli attacchi di compromissione della posta elettronica aziendale

- La formazione sulla sicurezza è uno degli strumenti più efficaci per combattere gli attacchi BEC. Una formazione regolare assicurerà che il personale possa riconoscere le e-mail dannose, le tattiche di ingegneria sociale, identificare le richieste sospette e seguire i protocolli corretti per trattare i trasferimenti di denaro.
- Formazione per dirigenti di livello C - È anche vitale che i dirigenti di livello C ricevano una formazione specifica per il loro ruolo che affronti le minacce uniche che devono affrontare giorno per giorno.
- I dipendenti dovrebbero interrogare e verificare tutte le richieste confidenziali, specialmente quelle ritenute urgenti dal CEO o da altri alti dirigenti dell'azienda.
- Ridurre al minimo il numero di impiegati che hanno l'autorità di trasferire fondi.
- Usa l'autenticazione multifattoriale su tutti gli account di posta elettronica.
- Implementare un processo di verifica in due fasi per tutti i pagamenti che include un controllo non e-mail come un'autenticazione telefonica o verbale.
- Sviluppare procedure scritte per l'approvazione di tutte le transazioni finanziarie.
- Invia tutte le e-mail attraverso un server criptato.
- Non pubblicare informazioni sensibili sui siti web aziendali o sui social media.
- Considera l'uso di un banner di posta elettronica che notifica ai dipendenti se un'e-mail proviene da una fonte esterna.
I dipendenti rappresentano la più grande minaccia alla sicurezza di un'organizzazione, quindi è fondamentale che siano dotati delle competenze necessarie per prevenire un attacco informatico. MetaLearning Fusion è la prossima generazione di eLearning ed è stato specificamente progettato per fornire la migliore formazione possibile in materia di sicurezza informatica e privacy al vostro personale. Le organizzazioni possono costruire corsi su misura per il loro personale da una vasta libreria di brevi corsi eLearning. Contattateci per ulteriori informazioni su come MetaLearning può essere utilizzato per trasformare la formazione sulla sicurezza informatica all'interno della vostra organizzazione.