Attacchi BEC interni: come gestirli?

Negli ultimi anni gli attacchi di Business E-mail Compromise (BEC) sono diventati sempre più frequenti. Il loro obiettivo è quello di compromettere la corrispondenza commerciale, allo scopo di commettere truffe economiche, ottenere informazioni riservate o danneggiare la reputazione di un’azienda. Nel nostro precedente post sui tipi di attacchi BEC e i modi per affrontarli, abbiamo menzionato l’hackeraggio delle e-mail Oggi parleremo quindi del tipo più pericoloso di attacco BEC, quello interno. Abbiamo recentemente sviluppato e implementato una nuova tecnologia per proteggervi da questa particolare minaccia.

Perché un attacco BEC interno è più pericoloso di uno esterno

Gli attacchi BEC interni si differenziano da altri scenari di attacco in quanto le e-mail dannose vengono inviate da indirizzi legittimi all’interno di un’azienda. In altre parole, per portare a termine un attacco interno, il cybercriminale deve aver ottenuto l’accesso all’account di posta elettronica di un dipendente. Ciò significa che, per evitarlo, non è possibile fare affidamento su meccanismi di autenticazione e-mail (DKIM, SPF, DMARC) , né sugli strumenti automatici anti-phishing e antispam standard, che cercano incoerenze negli header tecnici o nell’alterazione degli indirizzi.

Di solito un messaggio proveniente da una casella posta elettronica compromessa contiene una richiesta di trasferimento di denaro (a un fornitore, un consulente, un ufficio delle tasse) o l’ invio di informazioni riservate. Il tutto perfezionato da trucchi di ingegneria sociale piuttosto standard. I cybercriminali cercano di mettere fretta al destinatario (“se non verrà pagata la fattura entro oggi, l’azienda verrà multata!”), minacciano (“ho richiesto il pagamento il mese scorso, che cosa state aspettando?!), adottano un tono autoritario che non tollera ritardi o usano altri stratagemmi tratti dal manuale di ingegneria sociale. Con l’aiuto di un indirizzo e-mail legittimo, i cybercriminali riescono a creare una situazione molto convincente.

Gli attacchi BEC interni possono anche diffondere e-mail con link a siti falsificati, dove l’URL differisce di una o due lettere dall’indirizzo dell’azienda di destinazione o da un’altra pagina di fiducia (ad esempio una “i” maiuscola invece di una “L” minuscola, o viceversa). Sul sito si potrebbe trovare un modulo di pagamento o un questionario che richiede informazioni riservate. Immaginate di ricevere un’e-mail come questa dall’indirizzo del vostro capo: “Abbiamo deciso di inviarla alla conferenza. Prenoti il biglietto dal nostro account al più presto, in modo da poter ottenere uno sconto”. Segue un link che assomiglia al sito dell’evento più importante del vostro settore, il che ha senso. Quali sono le probabilità che vi prendiate il tempo di studiare attentamente  ogni lettera del nome della conferenza se tutto, fino alla firma dell’e-mail, sembra essere in ordine?

Come proteggere l’azienda dagli attacchi BEC interni

Tecnicamente, l’e-mail è perfettamente legittima, quindi l’unico modo per capire se c’è qualcosa che non va è giudicarne il contenuto. Analizzando molti messaggi attraverso algoritmi di apprendimento automatico, è possibile identificare tratti che, nel complesso, possono aiutare a determinare se un messaggio è reale o fa parte di un attacco BEC.

Fortunatamente (o forse no),  i campioni non mancano. Le nostre “trappole” ogni giorno raccolgono milioni di messaggi di spam in tutto il mondo. Essi includono un numero considerevole di e-mail di phishing (che non sono attacchi BEC interni, naturalmente, ma utilizzano gli stessi trucchi e hanno gli stessi obiettivi, in modo da poterli utilizzare per l’apprendimento automatico). Per cominciare, addestriamo un classificatore sottoponendo un grande volume di campioni per identificare i messaggi che contengono segnali di truffa. La fase successiva del processo di apprendimento automatico opera direttamente sul testo. Gli algoritmi scelgono i termini per individuare i messaggi sospetti, sulla base dei quali sviluppiamo regole euristiche che i nostri prodotti possono utilizzare per identificare gli attacchi. Nel processo è coinvolto un intero sistema di classificatori con apprendimento automatico.

Tuttavia, una tecnologia di questo tipo non ci permette di dormire sugli allori e di abbassare la guardia. I nostri prodotti sono ora in grado di rilevare molti più attacchi BEC rispetto a prima, ma se ha ottenuto l’accesso all’account di posta elettronica di un dipendente, un cybercriminale può studiarne lo stile e cercare di imitarlo durante un attacco su misura. Essere sempre vigili rimane comunque un’arma fondamentale.

Vi consigliamo di esaminare sempre con attenzione i messaggi che richiedono un trasferimento di denaro o la divulgazione di dati riservati. Aggiungete un ulteriore livello di verficia telefonando o messaggiando (con un servizio di fiducia) il collega in questione o parlandogli di persona per chiarire i dettagli.

In Kaspersky Security per Microsoft Office 365 utilizziamo l’euristica per la nostra nuova tecnologia anti-attacchi BEC e abbiamo in programma di implementarla anche in altre soluzioni.