Molti degli strumenti di sicurezza informatica, si concentrano sull’analisi di allegati malevoli o link infetti presenti sui messaggi, per identificare le email sospette.
Fra le campagne di criminal hacking più diffuse negli ultimi tempi, ce n’è una che mette nel mirino principalmente gli account e-mail di manager con attacchi che sfruttano la tecnica nota come BEC (Business Email Compromise) detta anche “la truffa del CEO”.
Questi attacchi mirano a portare perdite rilevanti di dati, violazione dei sistemi di sicurezza informatici e danni economici.
Il BEC ha colpito almeno una volta il 70% delle aziende mondiali, con perdite di miliardi di dollari su base annuale.
Caratteristiche delle truffe BEC ed alcuni esempi
Come la maggior parte degli attacchi di tipo phishing, anche le truffe BEC presentano una serie di caratteristiche tipiche:
- Dirigenti aziendali di alto livello che richiedono informazioni insolite: anche se viene del tutto naturale rispondere prontamente a un’email proveniente dal CEO dell’azienda, è bene soffermarsi un momento a valutare se la richiesta che ci viene fatta nel messaggio sia legittima oppure potrebbe nascondere qualcosa di strano.
- Raccomandazioni a mantenere confidenziale la comunicazione: Nelle truffe BEC, i cybercriminali raccomandano spesso alle vittime di mantenere segreta la comunicazione appena ricevuta via email e di comunicare solo via email.
- Richieste che bypassano i canali tradizionali: La maggior parte delle aziende dispone di sistemi di contabilità, all’interno di cui deve transitare qualsiasi fattura o pagamento. Le BEC mirano a bypassare questi sistemi con una email che proviene direttamente dalla direzione aziendale.
- Il testo del messaggio ha qualcosa di anomalo: ad esempio, la presenza di date scritte in un formato americano, oppure la presenza di frasi che suonano come fossero state scritte da una persona non italiana.
- Indirizzi email del campo “Reply To” che non corrispondono all’indirizzo che leggiamo sul campo “Da“: Non è per nulla immediato rendersene conto dal proprio client di posta o dalla webmail, ma le email truffaldine presentano generalmente l’indirizzo email falsificato del mittente. Altre volte i truffatori utilizzano invece domini simili agli originali, per ingannare le vittime.
Alcuni esempi di truffe di questo genere
- Transazioni immobiliari: durante le transazioni per l’acquisto di immobili, i criminali potrebbero impersonare venditori, agenti immobiliari o studi legali per convincere con l’inganno chi acquista una casa a trasferire i soldi sul loro conto.
- Furto di dati: i cyber criminali possono usare l’indirizzo email di un dirigente per richiedere documenti o informazioni personali al reparto risorse umane.
- Supply chain: come ti dicevo prima, i criminali spesso si servono di attacchi BEC per inserirsi nelle trattative con i fornitori e reindirizzare i pagamenti sul proprio conto.
- Studi legali: gli hacker possono anche assumere l’”identità” di un rappresentante di uno studio legale per ottenere informazioni su cause giudiziarie in corso o per avere accesso ad altri documenti e informazioni riservate.
DMARC contro SMTP
Il Simple Mail Transfer Protocol (SMTP), lo standard del settore per il trasferimento via e-mail, non ha alcuna funzionalità integrata per l’autenticazione dei messaggi. E’ molto semplice sfruttare la mancanza di sicurezza da parte di cybercriminali specializzati in phishing via email e domain spoofing.
Ecco perché si stanno sviluppando protocolli di autenticazione e-mail come DMARC per offrire un livello di protezione superiore.
Altre soluzioni per difendersi dagli attacchi di tipo BEC
Oltre all’applicazione del protocollo DMARC, possono aiutare per reagire rapidamente meccanismi di monitoraggio e reporting automatizzati per un controllo costante del flusso di comunicazione via e-mail.
Il protocollo DMARC è utile anche nei casi in cui sia già stato installato un filtro antispam o sia presente un security gateway. Si tratta di servizi aggiuntivi solitamente forniti come extra dal proprio provider e-mail, che però posso offrire protezione solo verso offensive di phishing.
Da ultimo, naturalmente, queste misure tecniche vanno assolutamente affiancate ad un percorso mirato di formazione che vada comunque ad agire sul fattore umano.
La cyber security funziona correttamente solo quando le misure tecniche sono regolarmente affiancate da quelle che si prendono cura del fattore umano.
Cosa fare dopo aver scoperto un attacco BEC?
Se sei caduto vittima di un attacco BEC, la cosa migliore da fare è agire rapidamente. Ecco i passaggi principali da seguire per evitare guai peggiori.
- Contatta la tua banca e quella su cui hai versato il denaro e fai eseguire loro delle verifiche.
- Avvisa dell’incidente chi si occupa di gestire il tuo IT e fornisci quante più informazioni possibili.
- Presenta un reclamo alla Polizia Postale o all’OLAF (Ufficio europeo per la lotta antifrode).
- Proteggi gli account email con password nuove e complesse. Dovresti anche aggiungere l’autenticazione a più fattori (MFA) ci metterei un link a un articolo che parla di 2FA o MFA se tu o il tuo cliente non l’avete già.
Non combattere da solo
ll 43% degli attacchi ha preso di mira le PMI e costa alle aziende una media di 150 mila euro. Nonostante ciò, solo il 14% delle piccole imprese dispone di misure efficaci per difendersi dagli attacchi informatici.
La tua azienda ha probabilmente diversi dispositivi a cui mancano patch di sicurezza e configurazioni corrette e monitorate 24/24. Non è questo il focus della tua attività, chiaramente, hai altro da fare. Ma purtroppo questi device possono essere attaccati dall’esterno per poi essere usati per rubare i tuoi dati, modificarli, bloccare la tua attività fino al pagamento di un riscatto.
Fortunatamente si può mitigare questi rischi attraverso le giuste competenze.
Puoi approfondire questo argomento iscrivendoti alla nostra newsletter o attraverso la lettura di questi articoli: