Come proteggersi dagli attacchi Business Email Compromise

7 Maggio 2019

Cosa è un attacco Business Email Compromise e come proteggersi.

Il Business Email Compromise, o semplicemente BEC, è un sofisticato schema di attacco che prende di mira addetti ai pagamenti all’interno di aziende, inducendole a eseguire o autorizzare pagamenti fraudolenti verso conti bancari controllati da organizzazioni cyber criminali*.
Esistono molte varianti di BEC. La frode più comune si basa sulla compromissione di account aziendali per inviare false fatture a clienti, presentandosi come fornitore, con pagamenti verso conti nella disponibilità di gruppi cyber criminali. In alcune varianti viene compromesso l’account email di un manager, per richiedere o autorizzare un pagamento fraudolento, oppure per approvare il cambio delle modalità di pagamento con coordinate riconducibili al gruppo cyber criminale.
Questo schema di attacco prende di mira aziende di tutte le dimensioni, e in alcuni casi anche singoli individui. L’Internet Crime Complaint Center (IC3) dell’FBI, combinando diverse fonti, ha valutato in oltre 12 miliardi di dollari il danno complessivo riconducibile a questo modello di frode** con un’impennata di eventi nell’ultimo anno. Oltre 80.000 gli incidenti riportati negli ultimi cinque anni, con vittime in oltre 150 nazioni.

Alcuni attacchi hanno avuto conseguenze davvero disastrose. Come il caso di un pagamento di 4,6 milioni di euro per rifornimenti di carburante dei velivoli Ryanair, dirottati su un conto in una banca cinese***. In casa nostra, eclatante la frode ai danni della società sportiva Lazio per l’acquisto del giocatore De Vrij dalla squadra olandese Feyenoord, con un pirata informatico che inserendosi nelle transazioni già in corso tra le due squadre e fingendosi come un dirigente della squadra olandese, sarebbe riuscito a far modificare il numero di conto per il pagamento dell’ultima rata****, facendo fluire sul suo conto ben 2 milioni di euro.

 

Varianti recenti

La tattica operativa si evolve continuamente. Le versioni più recenti di BEC veicolano, all’interno delle email, anche malware specializzato per frodi bancarie. In questa variante, la vittima riceve una risposta a una conversazione già in corso, oppure un messaggio da un interlocutore noto, verso il quale ha già effettuato pagamenti legittimi per beni o servizi ricevuti. L’email contiene anche un allegato che se aperto scarica ed esegue un malware che contribuisce all’attacco, impossessandosi di liste di contatti o credenziali per l’accesso ad altri servizi, oppure facendo comparire sullo schermo messaggi forvianti.
Le numerose campagne di attacco che hanno preso di mira la cattura di credenziali di accesso a sistemi email***** assieme alla pubblicazione a Gennaio 2019 di #Collection1, una raccolta con oltre 700 milioni di indirizzi email e decine di milioni di password, accrescerà il panorama degli attacchi Business Email Compromise nei prossimi mesi.

 

Come proteggersi?

Affinché un attacco BEC abbia successo serve una concomitanza di elementi: informazioni aziendali interne carpite attraverso social engineering, l’accesso non autorizzato ad una casella email aziendale, una richiesta di pagamento artefatta, e infine il pagamento verso un conto nella disponibilità dei cyber criminali.

La protezione passa attraverso tutti questi elementi, e richiede di:

  • Formare periodicamente e con continuità tutto il personale potenzialmente esposto, addestrandolo a riconoscere prontamente e bloccare le più recenti ed evolute forme di attacchi BEC.
  • Utilizzare sistemi di posta elettronica che consentano di verificare sempre l’autenticità e l’integrità delle email, attivando la crittografia a chiave pubblica e la firma digitale dei messaggi, già presente in quasi tutti i sistemi di posta elettronica. Oppure semplicemente usando la Posta Elettronica Certificata, che già garantisce nativamente autenticità e integrità dei messaggi.
  • Adottare con la massima urgenza sistemi di autenticazione a più fattori (MFA), autenticazione biometrica o authenticator App per l’accesso ai servizi di posta elettronica.
  • Implementare regole stringenti sui bonifici internazionali, individuando prontamente quelli verso i paesi più a rischio. Secondo FBI** la maggior parte delle transazioni fluisce su conti in Cina e Hong-Kong.
  • Estendere i processi aziendali con strumenti di Identity Governance and Administration (IGA) per la gestione della Separazione dei Ruoli (Sod, Segregation of Duties). Nel caso delle più recenti forme di frodi BEC, impedire che sulla stessa persona ricada l’autorizzazione dei pagamenti, la disposizione del pagamenti, e l’aggiornamento delle informazioni bancarie dei fornitori.
  • Implementare policy e strumenti aziendali per la verifica e l’approvazione di qualsiasi cambiamento delle informazioni di pagamento, come l’aggiornamento degli IBAN o più in generale le informazioni del destinatario di una transazione, per le fatture e i clienti già esistenti.

 

 

*Fonte: Pier Luigi Rotondo IBM X-Force: un passo avanti nella difesa dagli attacchi finanziari più evoluti IBM thinkMagazine, Febbraio 2018

**Fonte: Business E-mail Compromise The 12 Billion Dollar Scam - Public Service Announcement FBI, Luglio 2018

***fonte: C. Hancock Ryanair falls victim to €4.6m hacking scam via Chinese bank. CAB investigates after funds are taken from airline’s account by electronic transfer The Irish Times, Aprile 2015

****Fonte: Lazio, un hacker truffa i biancocelesti: dirottato bonifico da 2 milioni per l'acquisto di de Vrij Sky, Marzo 2018

*****Fonte: Rapporto CLUSIT 2019 sulla sicurezza ICT in Italia CLUSIT, Febbraio 2019

******Fonte: The IBM X-Force Threat Intelligence Index 2019 IBM X-Force, Febbraio 2019

 

A cura di Pier Luigi Rotondo, IBM Security Architect

Iscriviti alla newsletter

Per confermare l'iscrizione, controlla la tua email

*Campo Obbligatorio
Share This