Come gestire un attacco BEC (Business E-mail Compromise)

Le aziende di tutto il mondo sono vittime periodicamente di attacchi Business E-mail Compromise. Vi spieghiamo quali sono i pericoli e come ridurre i rischi.

I cybercriminali sono sempre alla ricerca di nuovi modi per attaccare le aziende. Da qualche anno a questa parte, fanno sempre più ricorso agli attacchi BEC (Business E-mail Compromise), che colpiscono la posta elettronica aziendale.

Nel 2019, l’organismo statunitense Internet Crime Complaint Center (IC3) da solo ha riportato 23.775 incidenti di questo tipo all’FBI, con un aumento di 3.500 rispetto al 2018, oltre a un incremento dei danni da 1,2 a 1,7 miliardi di dollari.

Cos’è un attacco BEC?

Un attacco BEC è una campagna mirata dei cybercriminali che impiega le seguenti tattiche:

  1. Intraprendere uno scambio di e-mail con un dipendente della compagnia di interesse, o prendere il controllo di un account già esistente;
  2. Guadagnarsi la fiducia di un dipendente grazie all’ingegneria sociale;
  3. Incoraggiare azioni che vanno contro gli interessi dell’azienda o dei suoi clienti.

Di solito tali azioni hanno a che vedere con il trasferimento di fondi sui conti dei cybercriminali o l’invio di file riservati, ma non è sempre così. Ad esempio, i nostri esperti di recente si sono imbattuti in una richiesta che sembrava provenire dal CEO di una compagnia, che riguardava l’invio di codici regalo via SMS a determinati numeri di telefono.

Sebbene i tentativi di attacchi BEC impieghino trucchi propri del phishing, in realtà si tratta di un’offensiva più sofisticata, che ha un che di expertise tecnologico e un po’ di ingegneria sociale. Inoltre, si tratta di tecniche uniche nel loro genere: le e-mail non contengono link o allegati dannosi ma i cybercriminali provano a ingannare il client di posta (e di conseguenza il destinatario) affinché sembri una normale e-mail. È l’ingegneria sociale ad avere il ruolo da protagonista in queste truffe online.

Di solito prima dell’attacco c’è una raccolta accurata di dati sulla vittima, che servono al cybercriminale per guadagnarsi la sua fiducia. Lo scambio di messaggi tra vittima e cybercriminale può anche non essere assiduo, due o tre e-mail in un arco di tempo di mesi.

Vale la pena menzionare a parte gli attacchi BEC multifase, che uniscono diverse situazioni e tecnologie. Ad esempio, i cybercriminali in una prima fase potrebbero rubare le credenziali di un normale dipendente mediante lo spear phishing e poi perpetrare un attacco nei confronti di un dirigente della compagnia.

Attacchi BEC: gli scenari più comuni

All’attivo esistono già alcuni scenari di attacchi BEC ma i cybercriminali ne inventano sempre di nuovi. In base a quanto abbiamo osservato, la maggior parte dei casi è riconducibile a 4 situazioni principali:

  • Falso collaboratore esterno: i cybercriminali si spacciano per un rappresentante di un’azienda con cui collaborerebbe la compagnia del destinatario. A volte menzionano un’azienda con cui davvero hanno rapporti professionali, in altri casi i cybercriminali provano a ingannare le vittime poco attente o ingenue fingendo di rappresentare una compagnia fittizia;
  • Istruzioni dal capo: in questo caso, i cybercriminali scrivono un’e-mail falsa che sembra provenire da un manager dell’azienda (di solito di una certa posizione), utilizzando trucchi tecnici o l’ingegneria sociale;
  • E-mail da un avvocato: i truffatori scrivono a un dipendente di una certa importanza (a volte persino al CEO) dove si chiede urgentemente (e in modo strettamente confidenziale) l’invio di una somma di denaro o di dati riservati. Spesso si spacciano per contractor, come contabili esterni, fornitori o compagnie di logistica. Tuttavia, la maggior parte delle situazioni indicate implica una risposta urgente e riservata di natura legale, per cui le e-mail di solito sonp a nome di un fantomatico avvocato o di un ufficio legale;
  • Hackeraggio dell’e-mail: il cybercriminale ottiene l’accesso alla casella di posta del dipendente per mandare istruzioni ad altri per chiedere fondi o dati o per scrivere a chi può farlo in azienda. Si tratta di una opzione particolarmente pericolosa in quanto il cybercriminale può accedere ai messaggi inviati dal dipendente e imitare la sua forma di comunicazione usuale oppure rubare dati riservati, il che porta a multe salatissime.

Attacchi BEC: le tecniche

Gli attacchi BEC stanno cambiando anche dal punto di vista tecnologico. Se nel 2013 i cybercriminali erano soliti hackerare gli account e-mail di CEO o del direttore finanziario, al giorno d’oggi imitano sempre di più e con maggiore successo anche altre figure, sfruttando la combinazione di sotterfugi tecnici, ingegneria sociale e disattenzione delle vittime. Ecco quali sono i trucchi tecnici più usati negli attacchi BEC:

  • Spoofing dell’indirizzo e-mail del mittente: il cybercriminale falsifica gli header dell’e-mail. Di conseguenza, ad esempio, un messaggio inviato da phisher@email.com nella casella del destinatario sembra provenire da CEO@nomeazienda.com. Tale tecnica ha diverse varianti e i vari header possono essere cambiati in vari modi. Il pericolo principale di questo metodo di attacco è che non solo i cybercriminali possono manipolare gli header dell’e-mail ma, per una serie di motivi, anche i mittenti legittimi potrebbero farlo;
  • Domini simili: il cybercriminale registra un nome di dominio molto simile a quello della vittima. Mettiamo il caso, com invece di example.com. Poi, le e-mail vengono inviate dall’indirizzo CEO@examp1e.com nella speranza che un dipendente distratto non riconosca il dominio falso. Il problema di questa tecnica è che il cybercriminale è il proprietario del dominio falso, per cui tutte le informazioni sul mittente supereranno i controlli di sicurezza tradizionali;
  • Mailsploit: ci sono sempre nuove vulnerabilità da trovare nei client di posta elettronica e che possono essere sfruttate per obbligare il client a mostrare un nome falso o l’indirizzo del mittente. Per fortuna, queste vulnerabilità saltano velocemente all’occhio delle compagnie di sicurezza informatica, il che consente alle soluzioni di sicurezza di rintracciarne il loro uso per prevenire gli attacchi;
  • Hackeraggio della casella di posta: i cybercriminali ottengono l’accesso completo all’account di posta, che useranno per inviare e-mail praticamente impossibili da distinguere da quelle reali. L’unico modo per proteggersi automaticamente da questo tipo di attacchi è l’impiego di tool di apprendimento automatico con lo scopo di determinare l’autore delle e-mail.

I casi in cui ci siamo imbattuti

Ovviamente rispettiamo la riservatezza dei nostri clienti; le e-mail che seguiranno non sono vere ma si tratta di esempi per illustrare gli attacchi BEC più comuni.

Nome falso

Il cybercriminale prova a stabilire un contatto con una potenziale vittima, spacciandosi per il suo capo. Il destinatario non prova a contattare il capo in persona e il truffatore sottolinea l’urgenza della richiesta e la mancata disponibilità del capo stesso a essere contattato mediante altri canali di comunicazione:

Il trucco del nome falso.

A uno sguardo più attento, si vede che il nome del mittente (Bob) non corrisponde a quellp dell’indirizzo e-mail (not_bob@gmail.com). In questo caso, il cybercriminale ha falsificato solo il nome che viene mostrato quando si apre l’e-mail. Questo tipo di attacco è particolarmente efficace sui dispositivi mobili in quanto, di default, viene visualizzato solo il nome del mittente, non l’indirizzo.

Indirizzo falso

Il cybercriminale va alla ricerca di un dipendente della sezione Contabilità che sia autorizzato a modificare i dati bancari e gli/le scrive quanto segue:

Il trucco dell'indirizzo falso.

L’header del messaggio è stato cambiato in modo che il client di posta mostri il nome e l’indirizzo e-mail del dipendente legittimo, e l’indirizzo e-mail del cybercriminale appare quando si risponde al messaggio. Di conseguenza, le risposte arriveranno a not_bob@gmail.com. Molti client di default nascondono questo campo, per cui l’e-mail può sembrare autentica anche a un’ispezione più attenta. In teoria, un attacco di questo tipo può essere fermato con la corretta configurazione di SFP, DKIM e DMARC a livello di server di posta aziendale.

Spoofing fantasma

Con questo tipo di attacco BEC il cybercriminale, che si spaccia per un manager, trasmette al dipendente la necessità di collaborare con un falso avvocato, che in teoria lo contatterà presto:

 

Il trucco dello spoofing fantasma.

In questo caso, il campo del mittente contiene non solo il nome ma anche l’indirizzo mail falsificato. Non è la tecnica più all’avanguardia ma funziona ancora su molte persone, soprattutto se il vero indirizzo non viene mostrato sullo schermo del destinatario (semplicemente perché troppo lungo, ad esempio).

Domini simili

Un cybercriminale prova a intavolare uno scambio di e-mail con un dipendente della compagnia:

 

Il trucco del dominio simile.

Questo è un esempio del metodo del dominio simili, che abbiamo già menzionato. Lo scammer innanzitutto registra un nome di dominio simile a quello originale (in questo caso examp1e invece di example.com) e poi spera che il destinatario non lo noti.

Attacchi BEC di alto profilo

Di recente, abbiamo visto numerose notizie di attacchi BEC che hanno provocato danni significativi ad aziende di ogni tipo e dimensione. Ecco i casi più eclatanti:

  • Un cybercriminale ha creato un dominio simile a quello di un’azienda di prodotti elettronici di Taiwan e, durante due anni, lo ha utilizzato per inviare fatture a grandi compagnie (tra cui Facebook e Google), “racimolando” un totale di circa 120 milioni di dollari;
  • Fingendosi un’impresa di costruzioni, dei cybercriminali hanno convinto l’Università del Sud dell’Oregon a trasferire un totale di circa due milioni di dollari su conti controllati dagli scammer;
  • Alcuni truffatori si sono infiltrati nello scambio di e-mail tra due squadre di calcio: hanno registrato un dominio con il nome di una delle due squadre ma con l’estensione del dominio diversa. I due club, il Boca Juniors e il Paris Saint-Germain, stavano parlando della commissione da pagare per il trasferimento di un giocatore. Il risultato: quasi 520 mila euro sono andati a finire su diversi conti fraudolenti in Messico;
  • La divisione europea della Toyota ha perso oltre 37 milioni di dollari (finiti nelle mani di cybercriminali) per via di false istruzioni per un bonifico bancario che un dipendente ha seguito pensando fossero legittime;

Attacchi BEC: come gestirli

I cybercriminali utilizzano una vasta gamma di trucchi tecnici e di tecniche di ingegneria sociale per guadagnarsi la fiducia delle vittime e portare a termine le loro truffe. Tuttavia, esistono alcune misure efficaci per ridurre il rischio di cadere nella trappola di un attacco BEC:

  • Impostate un sistema SPF, utilizzate firme DKIM e implementate una politica DMARC per stare alla larga da falsi scambi di e-mail interni. In teoria, queste misure consentono anche l’autenticazione da parte di altre compagnie delle e-mail inviate (dando per scontato, naturalmente, che le aziende abbiano configurato queste tecnologie). Questo approccio non è funziona per tutto (ad esempio, non si possono evitare lo spoofing fantasma o i domini simili) ma quante più aziende utilizzando SPF, DKIM e DMARC, meno spazio di manovra avranno i cybercriminali. L’uso di queste tecnologie contribuisce a creare una sorta di immunità collettiva nei confronti di varie operazioni dannose perpetrabili mediante gli header e-mail;
  • Avvaletevi di soluzioni di sicurezza dotate di tecnologie anti-attacchi BEC per contrastare i vettori di attacco che abbiamo descritto in questo post.

Le soluzioni Kaspersky, con il filtro dei contenuti creati nel nostro laboratorio, identificano già numerosi tipi di attacchi BEC. I nostri esperti sviluppano costantemente nuove tecnologie per proteggervi dalle truffe più avanzate e sofisticate.

Consigli