The Florentine Banker Group ha spiato per due mesi le vittime prima di dirottare quattro bonifici di società finanziarie israeliane e britanniche.
Un gruppo di cyber criminali conosciuto come The Florentine Banker Group ha lanciato attacchi avanzati di
Business Email Compromise contro grandi società finanziarie israeliane e britanniche.
Quattro transazioni hanno portato a un bottino di 1,3 milioni di dollari.
La tecnica messa in piedi da questo gruppo criminale è leggermente diversa da quella tradizionale. A identificarla sono stati gli esperti di Check Point Research. In genere i criminali inviano email
impersonando un alto dirigente nell'organizzazione vittima. The Florentine Banker Group invece ha rubato le credenziali email e
si è nascosto per due mesi prima di deviare bonifici del valore di milioni di dollari.
Grazie all'intervento tempestivo a seguito di una delle azioni, è stato possibile recuperare 600.000 dollari. Il resto, tuttavia, è andato perduto. Questo perché, come spiega Lotem Finkelstein di Check Point, "
questi attacchi si verificano rapidamente. Nella maggior parte dei casi, una volta effettuati i bonifici, i soldi sono persi per sempre. I nostri clienti sono quindi stati fortunati a riavere la metà del bottino".
Check Point è stata avvantaggiata dal fatto che stava seguendo l'attività di The Florentine Banker Group da almeno sei mesi prima di iniziare a lavorare con le vittime. Queste ultime sono state tre grandi società del settore finanziario britannico e israeliano. Trasferiscono settimanalmente milioni di dollari a partner e fornitori di terze parti.
L'attacco
Il primo atto dei cyber criminali è stato l'invio di
email di phishing mirato a due alti funzionari. La campagna si è protratta per diverse settimane, durante le quali si sono aggiunte occasionalmente nuove persone all'elenco delle potenziali vittime. Alla fine l'obiettivo è stato raggiunto: l'accesso all'account email della vittima. I cyber criminali ne hanno assunto il totale controllo.
A questo punto gli aggressori hanno potuto
leggere le email e comprendere i diversi canali utilizzati dalla vittima per effettuare trasferimenti di denaro. Gli attaccanti hanno anche compreso i rapporti della vittima con terze parti come clienti, avvocati, commercialisti, banche. E i ruoli chiave all'interno dell'azienda vittima.
La seconda mossa è stata quindi
isolare la vittima creando regole ad hoc per la casella di posta elettronica. In uno dei casi specifici, le email con parole come "fattura", "reso" o "pagamento" sono state archiviate automaticamente in una cartella non utilizzata dalla vittima, come quella RSS. Semplicemente, la vittima non si accorgeva del loro arrivo.
La terza mossa è stata l'attesa. I cyber criminali non hanno fatto altro che aspettare che venisse inviata una email che autorizzava un bonifico bancario. L'hanno dirottata e hanno
cambiato le istruzioni per il bonifico inserendo i dati di un conto corrente che faceva capo a loro.
In uno dei casi monitorati, il titolare di un bonifico suggeriva di utilizzare un conto bancario nel Regno Unito per accelerare il processo. Tuttavia, la società che avrebbe ricevuto il trasferimento di fondi non disponeva di un conto bancario nel Regno Unito. Gli aggressori hanno visto un'opportunità: hanno fornito un conto bancario nel Regno Unito alternativo tramite un'email fasulla e hanno intercettato il pagamento.
Nessuno schema predefinito
Lo schema è ingegnoso perché non esiste. I cyber criminali sorvegliano la vittima e aspettano un'occasione per agire.
Occasione che il più delle volte è data dal caso. L'unico schema è quello di partenza: la maggior parte di noi riceve centinaia di e-mail ogni giorno. È molto difficile accorgersi se ne mancano una o due all'appello. Nessuno si accorge di nulla fino a quando il destinatario dei bonifici non chiama per sapere che cos'è successo al pagamento.
Questo tipo di attacchi è
più frequente di quanto si pensi. Spesso sono i
ransomware a ottenere gli onori della cronaca. Però i BEC sono una delle migliori opportunità per i cyber criminali. L'FBI ha recentemente conteggiato che i BEC hanno portato nelle tasche dei cyber criminali 1,7 miliardi di dollari negli ultimi sei anni. È un'enorme quantità di denaro rispetto ai 144 milioni di dollari incassati con gli attacchi ransomware.
Come proteggersi
Per calmierare i rischi è necessario che le aziende implementino una soluzione di sicurezza aggiuntiva rispetto alla posta elettronica. Non si può fare affidamento solo sulla tecnologia, il fattore umano è imprescindibile. In particolare, nel caso dei bonifici, è imperativo introdurre sempre
un secondo fattore di verifica. L'ideale è una telefonata con l'interlocutore che chiesto di effettuare il trasferimento o con il destinatario. Gli amministratori delegati e i CFO devono effettuare per abitudine telefonare di conferma o al numero diretto dell'ufficio o al numero di cellulare personale delle parti riceventi, e sincerarsi di parlare con le persone giuste.
È inoltre necessario che le aziende tengano corsi di formazione alle persone e introducano l'autenticazione a più fattori.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
SecurityOpenLab.it iscriviti alla nostra
Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News!
Seguici