BEC – Business Email Compromise. Cosa è?
La Business Email Compromise (BEC) è un tipo di crimine informatico – molto diffuso anche in Italia ed a Brescia – in cui un aggressore ottiene l’accesso a un account di posta elettronica aziendale e lo utilizza per impersonare il proprietario o altre figure aziendali importanti per condurre attività fraudolente. Le truffe BEC sono diventate sempre più comuni negli ultimi anni, con perdite dell’ordine di miliardi di dollari in tutto il mondo. In questo articolo fornirò una panoramica sulla BEC e due esempi reali di truffe BEC, uno dei quali avvenuto in Italia.
La BEC prevede tipicamente che un cyber criminal ottenga l’accesso a un account di posta elettronica aziendale tramite phishing, social engineering o altri mezzi. Una volta ottenuto l’accesso all’account di posta elettronica, l’aggressore può monitorare l’account per identificare potenziali obiettivi e raccogliere informazioni che possono essere utilizzate per condurre attività fraudolente. Queste informazioni possono includere dettagli sulle transazioni in corso, informazioni sulle fatture e informazioni di contatto per fornitori o venditori.
Alcuni tipi di attacco BEC (non solo a Brescia)
La “fattura falsa”
Un tipo comune di truffa BEC è la truffa della “fattura falsa”, in cui l’aggressore utilizza l’account e-mail compromesso per inviare una fattura falsa a un cliente o a un fornitore. La fattura di solito richiede il pagamento di una transazione legittima, ma fornisce istruzioni di pagamento fraudolente; in altre parole si sollecita il pagamento di una fattura reale, seguita ad una vera vendita, ma si chiede di cambiare l’IBAN a cui fare il bonifico.
Questo può capitare anche in Franciacorta, in provincia di Brescia, come si può vedere da questa intervista che ho realizzato alcuni anni fa ad un importante commercialista .
Se il destinatario cade nella truffa e invia il pagamento al conto fraudolento, l’aggressore può rubare i fondi e scomparire senza – ovviamente – fornire alcun bene o servizio.
La “CEO Fraud”
Un altro tipo comune di truffa BEC è la truffa “CEO fraud“, in cui l’aggressore impersona un dirigente di alto livello all’interno dell’azienda per richiedere – ai propri collaboratori – bonifici urgenti o altre transazioni finanziarie. L’aggressore potrebbe utilizzare un indirizzo e-mail simile o creare un nuovo account e-mail simile a quello del dirigente, in modo da ingannare il destinatario e fargli credere che il messaggio sia legittimo. Queste truffe sono spesso caratterizzate da un senso di urgenza e possono affermare di avere a che fare con informazioni riservate o con un’opportunità commerciale urgente.
“Email Spoofing” o “Domain Spoofing”
C’è un altro tipo di frode che avviene utilizzando un dominio e-mail del mittente abbastanza simile a quello originale può essere considerata una truffa BEC, anche se non è stato violato alcun account e-mail. Questo tipo di truffa viene talvolta definito “email spoofing” o “domain spoofing” ed è una tattica comunemente utilizzata dai truffatori BEC.
In una truffa con spoofing di e-mail, l’aggressore crea un messaggio e-mail che sembra provenire da un mittente legittimo, ma che in realtà proviene da un indirizzo e-mail diverso. L’aggressore potrebbe utilizzare un dominio di posta elettronica simile o creare un nuovo indirizzo e-mail che assomiglia a quello legittimo. Ad esempio, l’aggressore potrebbe utilizzare “nome-azienda.srl” invece di “nome-azienda.it”.
Lo scopo dell’email spoofing è quello di ingannare il destinatario facendogli credere che il messaggio sia legittimo e convincendolo a compiere un’azione specifica, come trasferire fondi o fornire informazioni sensibili. Come per gli altri attacchi BEC questo tipo di truffa può essere particolarmente efficace se l’aggressore è in grado di creare un messaggio convincente che sembra provenire da un dirigente di alto livello o da un’altra persona di cui di solito si è portati a fidarsi.
Lo spoofing delle e-mail può essere utilizzato come parte di una truffa BEC più ampia, anche se nessun account e-mail è stato effettivamente compromesso. L’obiettivo della truffa rimane lo stesso: indurre il destinatario a compiere un’azione specifica a vantaggio dell’aggressore. In alcuni casi, l’aggressore potrebbe non aver bisogno di compromettere un account di posta elettronica per portare a termine la truffa, in quanto può creare un messaggio di posta elettronica convincente senza accedere all’account di posta elettronica della vittima.
Alcuni Casi Reali
La truffa ai danni Ubiquiti Networks
Nel 2015, il produttore di apparecchiature di rete Ubiquiti Networks è stato vittima di una truffa BEC che è costata all’azienda 46,7 milioni di dollari. L’attacco prevedeva che il criminale informatico si spacciasse per un dirigente dell’azienda e chiedesse a un impiegato amministrativo di trasferire fondi a un fornitore terzo. La richiesta sembrava legittima, poiché l’aggressore aveva utilizzato un indirizzo e-mail simile a quello reale ed era in grado di fornire dettagli convincenti sulla transazione. Il dipendente ha trasferito i fondi come richiesto, solo per scoprire in seguito che il trasferimento era stato fraudolento.
La truffa dell’olio d’oliva italiano
Nel 2018, la polizia italiana ha arrestato 17 persone in relazione a una truffa BEC che ha preso di mira gli acquirenti di olio d’oliva italiano. Gli aggressori avevano ottenuto l’accesso agli account di posta elettronica dei produttori di olio d’oliva e li avevano utilizzati per inviare fatture false ad acquirenti stranieri. Le fatture richiedevano il pagamento su un conto bancario fraudolento e gli aggressori sono riusciti a rubare complessivamente oltre 15 milioni di dollari. L’indagine sulla truffa ha rivelato che gli aggressori hanno utilizzato sofisticate tattiche di social engineering e sono riusciti a compromettere più account di posta elettronica per condurre la frode. Chissà se anche alcuni produttori di olio di oliva di Brescia sono rimasti vittime di questo attacco BEC…
Cosa Si Può Fare contro la BEC (anche a Brescia)
Il rischio di un attacco BEC è alto e l’impatto che questo tipo di truffa può avere in azienda è particolarmente rilevante.
Ma che misure si possono mettere in pista per mitigare questo rischio?
Educazione E Sensibilizzazione Dei Dipendenti
Assicuratevi che tutti i dipendenti siano consapevoli delle tattiche di phishing più comuni e dell’importanza di essere vigili quando ricevono e-mail. Conducete regolarmente corsi di formazione sulla sicurezza per tenerli aggiornati.
Implementare Soluzioni Di Sicurezza Per Le E-Mail
Utilizzate un software di filtraggio delle e-mail per bloccare le e-mail di spam e phishing. Attivate funzioni che avvertano gli utenti di e-mail sospette o che le segnalino come potenzialmente dannose.
Verificare Il Mittente (Basta BEC a Brescia!)
Incoraggiare i dipendenti a verificare l’identità del mittente contattandolo attraverso un altro canale di comunicazione (ad esempio, telefono o un indirizzo e-mail noto) se ricevono una richiesta di informazioni sensibili o di pagamento.
Autenticazione A Due Fattori (2FA)
Implementare l’autenticazione a due fattori (2FA) per tutti gli account, in particolare per quelli che hanno accesso ad informazioni sensibili o a sistemi finanziari. Questo aggiunge un ulteriore livello di sicurezza e rende più difficile per gli aggressori ottenere un accesso non autorizzato.
Aggiornare Regolarmente Software E Sistemi
Mantenete aggiornati tutti i sistemi e i software per ridurre il rischio di sfruttamento delle vulnerabilità note.
Implementare Politiche Di “Password Forti” Per Evitare la BEC a Brescia
Incoraggiate l’uso di password forti e uniche e cambiatele periodicamente. Considerate l’utilizzo di un password manager per tenere traccia delle password complesse.
Monitorare Le Attività Sospette
Esaminare regolarmente l’attività dell’account e i registri per identificare qualsiasi comportamento insolito o sospetto che possa indicare una compromissione.
Stabilire Preventivamente Un Chiaro Piano Di Risposta Agli Incidenti
Sviluppate un piano che illustri le misure da adottare in caso di incidente di sicurezza e assicuratevi che tutti i dipendenti ne siano a conoscenza.
Eseguire Regolari Controlli Di Sicurezza
Valutate regolarmente la posizione di sicurezza della vostra organizzazione e apportate miglioramenti in base ai risultati.
Incoraggiate I Dipendenti A Segnalare Le E-Mail Sospette
Creare un meccanismo di segnalazione semplice per i dipendenti, in modo che segnalino al reparto IT i tentativi di phishing o altre e-mail sospette.
Seguendo questi passaggi, ogni azienda può ridurre la probabilità di cadere vittima di attacchi di phishing in futuro.
Conclusioni (sui pericoli della BEC a Brescia)
In conclusione, le truffe BEC possono essere devastanti per le aziende, con perdite finanziarie significative e danni alla reputazione dell’azienda. È importante che le aziende implementino solide misure di sicurezza per la posta elettronica, come l’autenticazione a due fattori e la formazione dei dipendenti, per prevenire le truffe BEC. Inoltre, le aziende devono prestare attenzione ai segnali di truffa BEC, come richieste di pagamento insolite o messaggi urgenti da parte di dirigenti di alto livello.
){kind=link}