Business E-mail Compromise (BEC): un attacco che può costare molto caro

20 Set 2019

Generalmente, gli account hackerati vengono utilizzati per diffondere spam e bypassare i filtri. Tuttavia, un account di posta elettronica compromesso può essere impiegato per scopi di gran lunga peggiori, come un tipo di attacco chiamato Business E-mail Compromise (BEC). Il mese scorso, una filiale della Toyota Boshoku Corporation è stata colpita da questa truffa, subendo danni per circa 4 miliardi di yen (più di 37 milioni di dollari).

Che cosa è successo?

Secondo la dichiarazione ufficiale dell’azienda del 6 settembre scorso, e da quanto si evince dai commenti delle testate giornalistiche, alcuni criminali informatici sconosciuti hanno lanciato un attacco BEC. L’incidente è ancora oggetto di indagine e non sono stati dati dettagli, quindi non è chiaro se sia stata usata un’e-mail rubata o se i cybercriminali si siano semplicemente spacciati per qualcun altro. Quello che sappiamo è che il danno economico è stato provocato da alcune istruzioni di un bonifico bancario fraudolento che qualcuno in azienda ha preso per legittime.

Poco dopo il bonifico gli esperti di sicurezza Toyota si sono resi conto che il denaro era partito verso conti esterni, ma era troppo tardi per annullare il trasferimento della somma. Nel frattempo, l’azienda si sta adoperando per ottenere la restituzione del denaro.

Che cos’è un attacco BEC?

Un attacco BEC non implica necessariamente il furto delle degli account e-mail altrui. A volte i criminali informatici cercano di impersonare dipendenti o partner aziendali di alto livello utilizzando indirizzi di terze parti. Tuttavia, l’utilizzo di un account di posta elettronica interna rende l’attacco molto più semplice: dopotutto, un’e-mail di qualcuno con cui si comunica realmente solleva molti meno sospetti.

Affinché l’attacco abbia successo, ovviamente il cybercriminale deve avere una grande padronanza delle tecniche di ingegneria sociale; impersonare un’altra persona e convincere qualcuno a fare qualcosa non è così facile. Anche in questo caso, una casella di posta hackerata semplifica il compito dei cybercriminali che, dopo aver studiato il contenuto delle cartelle di posta in arrivo e inviata, saranno in grado di imitare lo stile e il carattere di quella persona in modo molto più convincente.

L’obiettivo di un attacco BEC non è sempre il trasferimento di denaro (convincere qualcuno a inviare milioni di dollari non è un compito facile per nessuno). È molto più comune il voler estorcere dati privati alla vittima.

Altri esempi di attacchi BEC

L’attacco che ha coinvolto Toyota non è affatto il primo caso. Quest’anno abbiamo parlato più volte di una tecnica dei cybercriminali volta a rubare gli account dei dipendenti di un’azienda. Nel mese di maggio vi abbiamo raccontato in che modo dei cybercriminali avessero ingannato una squadra di calcio per indurla a utilizzare i dati finanziari errati per il pagamento della quota di trasferimento di un giocatore. Il mese scorso, degli scammer hanno cercato di sottrarre 2,9 milioni di dollari alla Portland Public Schools (Oregon). E a luglio, la Cabarrus County Schools (North Carolina) ha perso 1,7 milioni di dollari, dopo aver ricevuto istruzioni fraudolente via e-mail. Il personale inizialmente ha trasferito 2,5 milioni di dollari presumibilmente per la costruzione di una nuova scuola, ma in seguito ha recuperato parte dei fondi.

Come evitare di diventare una vittima

Per proteggersi dall’ingegneria sociale, i soli mezzi tecnici non sono sufficienti, soprattutto se i cybercriminali sono dei professionisti con accesso al vero account di posta elettronica della persona che stanno cercando di soppiantare. Pertanto, per evitare di cadere in questo tipo di truffe, vi consigliamo quanto segue:

  • Definite chiaramente la procedura di trasferimento di fondi dell’azienda in modo che nessun dipendente possa effettuare un bonifico su un conto di terzi senza una stretta supervisione. Assicuratevi che i trasferimenti di grandi somme siano autorizzati da più responsabili;
  • Formate i dipendenti affinché conoscano le basi della sicurezza informatica e insegnate loro a essere scettici circa le e-mail che ricevono. I nostri programmi di security awareness sono di grande aiuto in questo senso;
  • Prevenite l’hackeraggio di account di posta elettronica aziendali applicando una protezione adeguata contro il phishing a livello di server di posta elettronica. Ad esempio, potete avvalervi di Kaspersky Endpoint Security for Business Advanced.