Cos’è un attacco BEC (Business Email Compromise) e come funziona?

Person with a laptop and a sword fighting incoming emails

Spesso sentiamo dire che l’email sta cadendo in disuso poiché è soppiantata dai social media, ma le cose stanno diversamente. Una ricerca di Radicati Group mostra che l’uso dell’email sta raggiungendo la soglia di 319,6 miliardi di email inviate e ricevute al giorno. È una quantità impressionante. Anche se per la maggior parte si tratta di spam e messaggi indesiderati, l’email resta un metodo molto pratico per comunicare tra colleghi, con i partner commerciali esterni e i clienti.

Visto il ruolo così importante che riveste nelle comunicazioni aziendali, l’email sarà sempre il metodo numero uno con cui i criminali informatici prendono di mira individui e organizzazioni. Non a caso, il 76% delle imprese ha subito un attacco di phishing.

Naturalmente il criminale informatico è un avversario astuto e troverà vari metodi nuovi e creativi per causare una minaccia informatica. Un altro metodo di attacco di grande successo basato sulle email è il BEC o Business Email Compromise (letteralmente, “violazione dell’email aziendale”). In questo articolo vedremo cos’è il BEC e come possiamo cercare di proteggere il nostro business da quella che è la più sinistra delle minacce.


Attacco BEC: alcuni esempi

Una ricerca condotta dall’FBI concentrata sui tre anni precedenti il 2016 ha svelato che il BEC è responsabile di perdite per 5,3 miliardi di dollari subite da aziende in tutto il mondo. Ecco alcune truffe BEC piuttosto famose:

L’azienda austriaca FACC Operations GMBH ha perso 50 milioni di euro a causa di una truffa BEC quando gli hacker hanno impersonato il CEO Walter Stephan tramite delle email. Queste email fasulle chiedevano di fare trasferimenti di denaro urgenti. E com’è ovvio, il denaro è andato direttamente sul conto bancario degli hacker.

La società californiana Xoom Corporation ha subito una truffa simile all’attacco BEC in danno di FACC Operations. In questo caso circa 30,8 milioni di dollari sono stati trasferiti sul conto di un hacker. L’incidente ha anche fatto scendere del 17% il prezzo delle azioni della società.

Il produttore di giocattoli Mattel ha consegnato 3 milioni di dollari ad alcuni truffatori che mediante tecniche BEC avevano indotto in inganno l’azienda, simulando una transazione finanziaria legittima.

Questi esempi mostrano la gravità del problema: un attacco BEC può costare milioni alle aziende. Di sicuro questa è una ragione sufficiente per approfondire l’argomento.


Come appare una truffa BEC

Come molti dei metodi di maggior successo usati dai criminali informatici, il BEC si basa su un tema comune: la manipolazione del comportamento umano usando tecnologia. Al riguardo si parla di “ingegneria sociale”. La socievolezza umana e la normale connettività con altre persone vengono sfruttate dai criminali per realizzare il loro obiettivo finale. Ecco alcuni modi in cui operano i truffatori BEC:


Impersonificazione del CEO

CEO ambiguo con i baffiLa truffa ai danni di FACC Operations era basata sullo spoofing dell’email del CEO. In altri termini, dirottando un account reale o utilizzando un indirizzo email fasullo si inducono altri a pensare che l’email sia legittima. Il dirottamento comporta la violazione di un account email esistente (con il furto delle credenziali di accesso) per prenderne il controllo. Lo spoofing è una tecnica piuttosto semplice ma può avere meno successo. Tuttavia, può essere molto difficile da rilevare. Soprattutto se il truffatore ha osservato come si comporta il CEO e il tipo di linguaggio che usa. Gli indirizzi email spoof sono molto simili all’indirizzo reale. Per esempio, se al posto dell’indirizzo [email protected] viene utilizzato [email protected] solo le persone attente noteranno la differenza nel dominio.


Fattura falsa

Con tecniche di sorveglianza, un hacker ricostruisce come opera il dipartimento finanziario dell’azienda presa di mira. Utilizzando un’email di spear phishing, il criminale informatico prende di mira un individuo del dipartimento e ruba le credenziali di accesso al suo account di posta elettronica. Poi si procura un modello di fattura e infine invia una fattura fasulla richiedendo il pagamento, oppure modifica direttamente i dati bancari su una fattura legittima.


Noi e l’attacco BEC

Il BEC è come una montatura di vecchio stampo. La truffa si basa sulla manipolazione del comportamento umano. I criminali usano una combinazione di trucchi psicologici e know-how per farti fare i loro interessi. I seguenti sono alcuni elementi importanti che impiegano:


Sorveglianza

Gli hacker BEC spesso impiegano il loro tempo per capire come una società e gli individui al suo interno lavorano e comunicano. Vogliono far sembrare le loro email il più reali possibile e imitare il dipendente che stanno impersonando. Usano espressioni simili alle sue proprio per indurre in inganno la vittima.


Fiducia

La truffa è costruita intorno a relazioni di fiducia. Spesso l’imbroglione userà relazioni di fiducia conosciute, come quella tra un amministratore delegato e un direttore finanziario, per avviare un trasferimento di denaro. Se ci fidiamo della persona che ci chiede di trasferire del denaro, è più probabile che lo facciamo. Soprattutto se il linguaggio e le parole che usa sono le stesse utilizzate normalmente.


Buoni impiegati

Le truffe BEC hanno spesso più successo quando creano un senso di urgenza, magari facendo leva sul bisogno di un dipendente di fare un buon lavoro. L’email fasulla conterrà un invito all’azione come “Per favore elabora il trasferimento con urgenza; se non spostiamo il denaro entro le 12 perderemo questo importante affare”. La paura di ricevere la colpa se un importo non viene trasferito in tempo spinge l’impiegato a obbedire. L’urgenza provoca anche stress, rendendo le persone meno inclini a cogliere gli indizi di un’eventuale truffa.


Modi per prevenire la truffa BEC

Come per le altre minacce alla sicurezza informatica, ci sono modi per ridurre il rischio e battere il criminale informatico al suo stesso gioco. Perciò abbiamo creato un elenco con alcune idee su come rimanere all’erta e, di conseguenza, protetti.


1. Consapevolezza

Per prima cosa assicurati che tutti nella tua azienda, dal consiglio di amministrazione ai singoli dipendenti, siano consapevoli di cos’è e come avviene una truffa BEC. In particolare, sensibilizza le aree aziendali destinatarie della minaccia, come il dipartimento finanziario. Metti in atto controlli e misure; ad esempio, fai una telefonata di verifica prima di disporre un grosso trasferimento.


2. Uso di un’autenticazione email forte

Anche se la maggior parte delle truffe BEC si basa sull’ingegneria sociale, in alcuni casi l’attacco avviene tramite la violazione di un account di posta elettronica. Se puoi applica l’autenticazione a due fattori (2FA) per accedere al tuo account email. Ad esempio, sistemi di posta elettronica come Gmail offrono l’autenticazione a due fattori mediante un’app mobile o un SMS. Tieni presente che l’SMS 2FA presenta alcuni problemi di sicurezza noti. Quindi il codice di un’app mobile può essere più sicuro.


3. Verifica del dominio

Gli indirizzi email falsi che i criminali usano spesso hanno domini simili nell’indirizzo email. Assicurati di acquistare tutti i domini che sono simili al tuo dominio principale. Così gli hacker non saranno in grado di abusarne.


4. Misure di sicurezza

Dovresti sempre seguire le misure di sicurezza di base come la prevenzione del malware. Per ricordare come si fa dai un’occhiata ai nostri consigli per rimanere al sicuro online. Anche se si tratta di consigli per singoli individui, è importante che tutti all’interno della tua azienda siano consapevoli di questi passaggi.


Considerazioni conclusive

Ciò che è così agghiacciante del BEC o Business Email Compromise è che l’hacker diventa una spia e usa il nostro stesso comportamento contro di noi. Il BEC può essere un crimine molto costoso, che sottopone le aziende a una grave pressione finanziaria. A volte porta anche a licenziamenti. Alcune semplici nozioni in tema di sicurezza possono aiutare a ridurre al minimo il rischio che la tua azienda sia colpita da questo dannoso crimine informatico.

International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.