Business Email Compromise (BEC)

Il Business Email Compromise (BEC) è un exploit in cui un attaccante ottiene accesso a un'email aziendale e imita l'identità del proprietario, al fine di frodare l'azienda e i suoi dipendenti, clienti o partner. Spesso, un attaccante creerà un account con un indirizzo email quasi identico a uno presente nella rete aziendale, facendo affidamento sulla fiducia presunta tra la vittima e il suo account email. Il BEC è talvolta descritto come un "attacco man-in-the-email".

Realizzato da organizzazioni criminali transnazionali che impiegano avvocati, linguisti, hacker e ingegneri sociali, il Business Email Compromise può assumere diverse forme. Nella maggior parte dei casi, i truffatori concentreranno i loro sforzi sui dipendenti con accesso alle finanze aziendali e tenteranno di ingannarli per effettuare bonifici su conti bancari ritenuti affidabili, quando in realtà il denaro finisce in conti di proprietà dei criminali.

In un exploit BEC, l'attaccante utilizza tipicamente l'identità di qualcuno su una rete aziendale per ingannare il bersaglio o i bersagli affinché inviino denaro al conto dell'attaccante. Le vittime più comuni del BEC sono solitamente aziende che utilizzano bonifici per pagare clienti internazionali.

Sebbene i perpetratori del BEC utilizzino una combinazione di tattiche per ingannare le loro vittime, un piano comune prevede che l'attaccante ottenga accesso a una rete aziendale utilizzando un attacco di spear-phishing in combinazione con qualche forma di malware. Se l'attaccante rimane non rilevato, può trascorrere del tempo a studiare tutti gli aspetti dell'organizzazione, dai fornitori ai sistemi di fatturazione, fino alle abitudini di corrispondenza di dirigenti e altri dipendenti.

In un momento opportuno — di solito quando l'impiegato impersonato è fuori ufficio — l'attaccante invierà un'email falsa a un dipendente del dipartimento finanziario. Viene fatta una richiesta per un bonifico immediato, solitamente a un fornitore fidato. L'impiegato bersaglio pensa che il denaro venga inviato al conto previsto, ma i numeri di conto sono stati leggermente modificati e il trasferimento viene effettivamente depositato nel conto controllato dal gruppo criminale.

Se la frode monetaria non viene individuata in tempo, i fondi possono spesso essere quasi impossibili da recuperare, a causa di un numero qualsiasi di tecniche di riciclaggio che trasferiscono i fondi in altri conti.

• Falsificazione di account email e siti web: Leggere variazioni su indirizzi legittimi (john.kelly@abccompany.com vs. john.kelley@abccompany.com) ingannano le vittime facendole pensare che gli account falsi siano autentici.
• Spear-phishing: Email falsi ritenuti provenienti da un mittente fidato spingono le vittime a rivelare informazioni riservate ai perpetratori del BEC.
• Malware: Utilizzato per infiltrarsi nelle reti al fine di ottenere accesso a dati e sistemi interni, specialmente per visualizzare email legittime riguardanti le finanze dell'azienda. Quell'informazione viene poi utilizzata per evitare di sollevare i sospetti di un qualsiasi funzionario finanziario quando viene presentato un bonifico falsificato. Il malware consente anche ai criminali di accedere ai dati sensibili delle loro vittime.

Spesso, i messaggi inviati dai perpetratori seguiranno una serie di archetipi. Come definito dall'FBI, ci sono 5 principali tipi di truffe BEC:

• Schema di fattura falsa: Le aziende con fornitori esteri sono spesso prese di mira con questa tattica, in cui gli attaccanti fingono di essere i fornitori che richiedono trasferimenti di fondi peramenti a un conto di proprietà dei truffatori.
• Frode del CEO: Gli attaccanti si spacciano per il CEO dell'azienda o per qualsiasi dirigente e inviano un'email ai dipendenti del settore finanziario richiedendo loro di trasferire denaro al conto che controllano.
• Compromissione dell'account: L'email di un dirigente di un dipendente viene hackerata e utilizzata per richiedere pagamenti di fatture ai fornitori elencati nei loro contatti email. I pagamenti vengono quindi inviati a conti bancari fraudolenti.
• Impersonificazione di un avvocato: Un attaccante impersonerà un avvocato o un altro rappresentante dello studio legale responsabile di questioni sensibili.Questi tipi di attacco si verificano spesso tramite email o telefono, alla fine della giornata lavorativa, quando le vittime sono dipendenti di basso livello privi della conoscenza o dell’autorità per mettere in discussione la validità della comunicazione.
• Furto di dati: I dipendenti delle risorse umane e della contabilità saranno presi di mira per ottenere informazioni personali o altrimenti sensibili sui dipendenti sui dirigenti. Questi dati possono essere molto utili per attacchi futuri.

Ci sono molti modi per difendersi contro il compromesso delle email aziendali. Le tecniche comuni utilizzate includono:

• Regole del sistema di rilevamento delle intrusioni: queste segnalano le email con estensioni simili a quelle aziendali. Ad esempio, un'email legittima di xyx_business.com segnalerà un'email fraudolenta di xyz-business.com.
• Regole email: queste segnalano le comunicazioni email in cui l'indirizzo email di "risposta" è diverso dall'indirizzo email "da" mostrato.
• Codifica a colori: corrispondenza virtuale in modo che le email provenienti da account interni/di dipendenti siano di un colore e le email provenienti da account esterni/non dipendenti siano di un altro.
• Verifica dei pagamenti: garantisce la sicurezza richiedendo un'ulteriore autenticazione a due fattori.
• Richieste di conferma: per trasferimenti di fondi con qualcosa come la verifica telefonica come parte di uno schema di autenticazione a due fattori. Inoltre, le conferme possono richiedere che vengano utilizzati i numeri della rubrica aziendale, anziché i numeri forniti in un'email.
• Scrutinio attento: di tutte le richieste email per il trasferimento di fondi per determinare se le richieste sono insolite.