Gli attacchi BEC sono in aumento: ecco le tecniche più diffuse e i consigli generali per difendersi.
Autore: Redazione SecurityOpenLab
Le previsioni sull'incremento di attacchi Business Email Compromise nel 2021 si stanno concretizzando. Kaspersky ha reso noto che nel trimestre fra maggio e luglio 2021 i suoi prodotti hanno bloccato oltre 9.500 attacchi BEC rivolti ad aziende del trasporto aereo, dell'industria, del retail, dell'IT e della distribuzione.
La cifra fa comprendere la portata del fenomeno, che ricordiamo essere molto insidioso. Si tratta infatti di truffe a tutti gli effetti, in cui i truffatori si propongono ai dipendenti aziendali sotto le mentite spoglie di colleghi, fornitori o debitori. Il loro intento è dirottare il denaro aziendale verso conti correnti controllati dai criminali stessi.
Le email sono esempi sopraffini di tecniche di ingegneria sociale, rese particolarmente insidiose dal fatto che i truffatori utilizzano quasi sempre account reali rubati ai dipendenti, oppure indirizzi email che sono visivamente simili a quelli ufficiali dell'azienda. L'elemento di successo di questi attacchi è proprio la fiducia delle vittime verso il proprio interlocutore: l'amministratore delegato, il collega dell'ufficio acquisti, il fornitore con cui si lavora da anni.
Gli schemi principali di attacco sono tre. Il primo è quello noto come truffa del CEO. Un dipendente riceve un'email falsa da un suo superiore. I truffatori cercano di indurre la vittima a condividere informazioni con l’account fittizio di un presunto "consulente legale" o simili, nel tentativo di rubare dati aziendali riservati.
Nella variante finanziaria, invece, l'ufficio contabilità riceve un messaggio da un (falso) dipendente che notifica il cambio delle coordinate bancarie per l'accredito dello stipendio. Se il contabile apporta la modifica richiesta nel sistema paghe, lo stipendio destinato a un dipendente andrà al truffatore.
Terza opzione è quella della fattura falsa. Anche in questo caso la mail di truffa è indirizzata all'ufficio contabilità, ma il mittente è un fornitore o un'azienda terza che notifica un ritardo nel pagamento di una fattura. Anche in questo caso, se la frode va a buon fine, i soldi andranno ai criminali informatici.
Orchestrare un attacco BEC richiede tempo e risorse significativi. La durata dell'attacco stesso può essere di poche settimane oppure di diversi mesi, e un attacco riuscito può procurare danni del valore di diversi milioni. È quindi importante implementare soluzioni di difesa efficaci.
Il punto di partenza è la formazione del personale affinché apprenda le tecniche di ingegneria sociale tipiche degli attacchi BEC e impari a identificarle e gestirle. Spesso basta una telefonata con quello che dovrebbe essere il legittimo mittente per sventare la truffa.
In secondo luogo è necessario dotarsi di soluzioni antiphishing e antispam di ultima generazione, che sfruttano l'analisi comportamentale e del linguaggio per stanare le truffe. Una soluzione tradizionale infatti sarebbe del tutto inefficace, dato che le email BEC non hanno allegati e provengono spesso da indirizzi veri.
Un altro consiglio efficace contro gli attacchi BEC è incentivare tutto il personale e non condividere pubblicamente troppi dettagli sul proprio lavoro. i criminali informatici attingono spesso dalle informazioni che trovano online per architettare la truffa ed essere credibili.