Come funziona la Business Email Compromise (BEC)

La Business Email Compromise (BEC) è una delle truffe più complesse tra quelle basate sull’ingegneria sociale, che fa guadagnare ingenti somme di denaro ai suoi autori. Mentre il ransomware fa notizia, il BEC sembra non fare notizia. Tuttavia, una ricerca dell’FBI ha rilevato che i volumi di BEC sono quattro volte superiori a quelli del malware.

Il Verizon Data Breach Investigations Report (DBIR) sottolinea che la stragrande maggioranza (86%) della criminalità informatica ha motivazioni finanziarie. Nel 2021, l’FBI ha definito il BEC come “uno dei crimini online più dannosi dal punto di vista finanziario”.

I truffatori, i frodatori e i criminali informatici fanno tutti parte di una comunità nefasta che utilizza tattiche di social engineering ed email di phishing per portare a termine i propri crimini informatici. Capire come funziona una truffa può aiutare a evitare che la tua organizzazione diventi vittima di un attacco informatico.

Ecco come funziona la Business Email Compromise e come puoi impedire ai truffatori BEC di rubare il denaro della tua azienda.

Analisi di un tipico attacco BEC

I truffatori di Business Email Compromise prendono di mira aziende di tutte le dimensioni e di tutti i settori. Una truffa BEC sfrutta al massimo l’ingegneria sociale, manipolando i dipendenti presi di mira, mentre la catena di distruzione si muove all’interno dell’organizzazione.

Nel 2020, l’unità investigativa sul crimine informatico dell’FBI, IC3, ha rilevato che i criminali informatici hanno sfruttato oltre 2 miliardi di dollari dalle aziende statunitensi utilizzando tecniche BEC. Il BEC non è meno comune nel Regno Unito, dove nel 2018 oltre 500 PMI sono state prese di mira dai truffatori BEC.

Le truffe di Business Email Compromise sono redditizie. Ma richiedono un alto livello di impegno per ottenere l’accesso alle ingenti somme di denaro che i truffatori stanno cercando. La frode BEC può essere considerata una minaccia avanzata alle email, poiché di solito contiene un elemento di compromissione delle email e di phishing in una fase iniziale del ciclo di attacco.

Ecco i processi tipici di una truffa di Business Email Compromise:

Una truffa BEC consiste nell’ingannare persone specifiche all’interno di un’organizzazione affinché effettuino un bonifico bancario per trasferire denaro sul conto del truffatore. Esistono diverse varianti della truffa, ma tutte hanno un elemento in comune: trovare un modo per ingannare qualcuno facendo credere che sta effettuando un importante trasferimento di denaro su richiesta di una persona di livello C e/o di un cliente importante. Le fasi tipiche di una truffa BEC sono:

Prima fase: raccolta di informazioni e strategie

I crimini di BEC sono un serio esercizio di guadagno che richiede la raccolta di informazioni di intelligence per perfezionare il crimine. La sorveglianza di solito comporta la raccolta di informazioni generali disponibili al pubblico su un’azienda, sull’identità dei dirigenti di livello C, sulla struttura aziendale, ecc.

In questa fase, i criminali informatici si informano sulle attività dell’azienda e cercano di capire come vengono effettuati i pagamenti e a chi. Il truffatore BEC utilizza queste informazioni per iniziare la seconda fase dell’attacco.

Seconda fase: Compromissione dell’email o Spoof dell’email

Utilizzando le informazioni raccolte nella prima fase, il truffatore BEC adotterà una delle due tattiche per continuare l’attacco:

La compromissione dell’account e-mail è una possibilità. L’acquisizione dell’account (ATO) richiede che il criminale informatico rubi le credenziali di accesso e la password di un account e-mail mirato. Questo può essere fatto utilizzando lo spear-phishing; è più complicato (ma non impossibile) se viene utilizzato un secondo fattore per proteggere un account.

Se il criminale informatico riesce a dirottare un account, si concentrerà su un dirigente di livello C o su qualcuno che controlla i pagamenti. Un account dirottato di un CXO è molto prezioso e può essere utilizzato per richiedere pagamenti “urgenti” sul conto bancario dell’hacker, spacciandosi per un “cliente importante”.

Nel caso della “contabilità fornitori”, il truffatore sarà in grado di osservare il traffico di e-mail, alla ricerca di informazioni su chi viene pagato, quando viene pagato, ecc. Questo livello di controllo sulla posta elettronica di un’organizzazione consente anche di intercettare le fatture, modificandone i dettagli per garantire che i pagamenti vengano effettuati sul conto bancario del truffatore.

La seconda opzione consiste nello spoofare l’indirizzo e-mail del dirigente di livello C preso di mira. Lo spoofing di un’email è una forma comune di phishing e un modo riconosciuto per ingannare i destinatari e far loro credere che l’email provenga da una determinata persona. Un esempio di indirizzo e-mail contraffatto potrebbe essere [email protected] o [email protected] – hai capito bene… facile da impersonare, difficile da individuare, soprattutto se sei un impiegato impegnato nella contabilità.

Terza fase: Estrarre il denaro

La terza fase è quella in cui il denaro viene trasferito sul conto bancario del truffatore. Questa operazione può assumere diverse forme e fa parte della strategia originale di esecuzione definita nelle fasi uno e due. I modi tipici in cui avviene l’esecuzione della terza fase sono:

Frode del CEO: utilizzando un account di livello C spoofato o hackerato, il truffatore invia un’e-mail contrassegnata come “urgente” in cui spiega che se l’indirizzo £££££ non viene inviato entro una certa ora, un account chiave del cliente andrà perso.

Frodesulle fatture: Se un account di posta elettronica viene violato, il truffatore controlla le fatture che arrivano in azienda, le intercetta e poi modifica i dati di pagamento della fattura.

Come puoi ridurre il rischio di BEC?

La frode BEC viene eseguita partendo dalla raccolta di informazioni sull’obiettivo e si propaga con un attacco avanzato via e-mail. Quest’ultimo dipende tipicamente da una campagna di spear-phishing di successo. Nessuno è esente da un attacco BEC: nel 2018, l’organizzazione benefica Save the Children ha perso 800.000 sterline a causa di un truffatore BEC. L’aggressore ha dirottato l’account e-mail di un dipendente e l’ha utilizzato per inviare fatture false.

Esistono diversi modi per proteggere la tua azienda da un attacco BEC, ognuno dei quali è un componente di un approccio stratificato per ridurre il rischio di campagne BEC:

Istruisci i dipendenti su come funzionano gli attacchi BEC

La Business Email Compromise è un attacco dipendente dalla posta elettronica che richiede vigilanza per essere individuato e prevenuto. Utilizza il Security Awareness Training e le esercitazioni di simulazionedi phishing per assicurarti che tutti i dipendenti comprendano i trucchi e le tattiche utilizzate per colpire le persone.

Crea programmi di formazione specifici per la BEC rivolti ai dirigenti e ai dipendenti di livello C, come quelli che si occupano di pagamenti. Se i tuoi pagamenti sono gestiti da terzi o da fornitori, assicurati che la formazione includa anche loro.

Usa l’autenticazione a due fattori

L’acquisizione dell‘account e-mail è un’opzione disponibile per i truffatori BEC. Assicurati che gli account e-mail aziendali siano configurati in modo da richiedere l’accesso tramite un secondo fattore, ad esempio gli utenti devono utilizzare un codice unico basato su un dispositivo mobile e una password per accedere al proprio account e-mail.

Proteggi il tuo dominio aziendale

I truffatori BEC spesso registrano nomi di dominio simili a quelli delle vittime, ad esempio www.micr0soft.com o www.amason.com. I truffatori possono quindi inviare email che sembrano inviate da un account email legittimo. Per evitare che ciò accada, registra domini simili al tuo dominio aziendale ufficiale.

Crea dei meccanismi per il doppio controllo dei pagamenti

Creare un processo in base al quale i dipendenti devono ricontrollare con un altro membro del personale prima di effettuare un trasferimento di denaro o di condividere informazioni riservate o personali.

Essere consapevoli delle modifiche o degli aggiornamenti

Crea una cultura della sicurezza assicurando che tutto il personale sia attento a qualsiasi cambiamento nel comportamento del personale interno o dei fornitori. Questo approccio culturale alla sicurezza manterrà il personale attento alle truffe e gli permetterà di individuare comportamenti insoliti prima che si trasformino in incidenti.

La Business Email Compromise è un crimine lucrativo e di successo. Questo successo significa che è improbabile che il suo volume diminuisca nei prossimi anni. L’unico modo per affrontarlo è rimanere vigili ed educare i tuoi dipendenti, compresi i dirigenti di alto livello, su come funziona il BEC.