Attacchi BEC: una truffa da 26 miliardi di dollari
Un nuovo studio di Osterman Research rivela perché gli attacchi BEC (Business Email Compromise) sono più devastanti del ransomware a livello finanziario e spiega come bloccarli.
Perché i cybercriminali dovrebbero utilizzare strumenti di offuscamento, lanciare cyber attacchi multi-livello, crittografare gli endpoint e contrattare per ottenere un riscatto, quando gli basta semplicemente chiedere i soldi? Questo è il principio alla base degli attacchi di compromissione della posta elettronica aziendale (BEC, o Business Email Compromise), un tipo di attacco informatico che è aumentato in maniera drammatica negli ultimi anni.
L’Internet Complaint Center (IC3) del governo federale degli Stati Uniti, che monitora questi attacchi dal 2013, ha definito gli attacchi BEC come la “truffa da 26 miliardi di dollari”. Probabilmente questo appellativo è già obsoleto, considerando l’aumento del volume di attacchi e il maggiore utilizzo della posta elettronica durante la pandemia.
Anche se gli attacchi ransomware di alto profilo continuano a occupare le prime pagine dei giornali, gli attacchi BEC provocano danni economici molto maggiori. Per esempio, nel 2020 gli attacchi BEC hanno causato perdite per 1,8 miliardi di dollari solo negli Stati Uniti, e rappresentano circa il 40% del volume di affari del crimine informatico a livello globale.
Analisi di un attacco BEC
Sebbene siano considerati un tipo di attacco phishing, in realtà gli attacchi BEC non utilizzano codici o link dannosi, ma si affidano principalmente al social engineering. Questi attacchi colpiscono in modo specifico le aziende che eseguono richieste di trasferimento di fondi legittime e si basano quasi esclusivamente sulla reputazione e l’anzianità di servizio dei richiedenti per garantire la conformità.
Secondo il white paper di Osterman sponsorizzato da SonicWall, dal titolo “Come gestire gli attacchi BEC“, gli autori degli attacchi BEC creano indirizzi e-mail simili a quelli dei dirigenti di alto livello, utilizzano servizi gratuiti come Gmail per creare indirizzi e-mail che sembrano provenire dall’account personale di un dirigente o, più raramente, accedono ai veri account e-mail aziendali dei dirigenti tramite attacchi di phishing o altri mezzi.
Qui sopra è riportata un’e-mail BEC che ho ricevuto. Notate innanzitutto il riferimento all’autorità – il messaggio sembra provenire dal CEO di SonicWall, anche se in realtà proviene da un indirizzo esterno – e il senso di urgenza che trasmette. Questo è un esempio piuttosto maldestro, ma molte di queste e-mail sono più sofisticate sia in termini di linguaggio che di realizzazione.
Una volta ottenuto un account e-mail plausibile da cui operare, gli aggressori usano tattiche di social engineering per richiedere alla vittima il pagamento di una fattura valida sul loro conto bancario, per sollecitare un pagamento con una fattura falsa o per dirottare il pagamento degli stipendi su un conto bancario fraudolento.
Poiché questi messaggi trasmettono un senso di urgenza e sembrano provenire da un CEO, da un direttore finanziario o da un’altra figura di alto livello, molti destinatari si affrettano a soddisfare le richieste il più velocemente possibile. Una volta eseguito il bonifico, l’azienda avrà perso una grossa somma di denaro e i criminali informatici potranno festeggiare un nuovo successo.
Quanto sono diffusi gli attacchi BEC?
Gli attacchi BEC sono stati registrati in ogni stato degli Stati Uniti e in altri 177 Paesi in tutto il mondo. Secondo il rapporto più recente dell’IC3, circa 20.000 di questi attacchi sono stati segnalati nel solo 2020. Probabilmente si tratta di una stima per difetto, dato che la ricerca di Osterman ha rivelato che quattro organizzazioni su cinque sono state colpite da almeno un attacco BEC nel 2021. Questo dato aumenta a 9 aziende su 10 nel caso delle medie imprese (con 500 – 2.500 utenti di e-mail).
Ancora peggio, quasi il 60% delle aziende intervistate ha riferito di essere stata vittima di un attacco BEC andato a buon fine o quasi. Per le aziende che hanno subito un attacco andato a buon fine, i costi sono stati notevoli: la combinazione di costi diretti e indiretti derivanti da un attacco BEC ha raggiunto in media una somma di 114.762 dollari. Purtroppo i costi diretti, seppure notevoli per una singola azienda, sono spesso troppo bassi per ottenere un intervento delle autorità e un risarcimento dalle compagnie assicurative.
Gli attacchi BEC possono essere fermati (ma probabilmente non come immaginate)
Molti attacchi utilizzano link e codici dannosi, che possono essere rilevati da soluzioni anti-malware e dai gateway di sicurezza della posta elettronica. Gli attacchi BEC, in particolare quelli provenienti da un indirizzo e-mail legittimo, sfruttano invece tattiche di social engineering che spesso non vengono rilevate da queste soluzioni.
Sebbene tre quarti delle aziende intervistate consideri importante la protezione contro questi attacchi, molte di loro dipendono essenzialmente da tecnologie che non sono mai state progettate per bloccare gli attacchi BEC.
Le aziende non possono fare granché per evitare di cadere vittima di un attacco BEC, come accade ogni anno all’80% (tendenza in crescita) delle aziende, ma ci sono molte altre cose che possono fare per proteggere le loro finanze. Le possiamo riassumere in tre concetti principali: persone, processi e tecnologia.
La tecnologia è la prima linea di difesa contro gli attacchi BEC. Molte soluzioni vantano la capacità di contrastare gli attacchi BEC, ma la loro efficacia varia notevolmente. Per ottenere una protezione ottimale, cercate una soluzione in grado di bloccare gli attacchi BEC e di guidare i dipendenti.
Nell’esempio riportato sopra, avete notato l’avviso per segnalare che l’e-mail proviene dall’esterno dell’organizzazione? Questi avvisi, pur essendo molto semplici, possono fare la differenza tra un tentativo di attacco BEC andato a buon fine e un messaggio esaminato ed eliminato al momento della ricezione.
In particolare nelle aziende che si affidano ancora alle tradizionali tecnologie di protezione, la formazione dei dipendenti è una forma di protezione indispensabile. I dipendenti devono essere istruiti su come esaminare i messaggi e riconoscere indirizzi e-mail contraffatti, errori di grammatica e sintassi insoliti e un falso senso di urgenza.
Inoltre dovrebbero essere predisposti ulteriori processi per contrastare i tentativi di compromissione particolarmente sofisticati, qualora un tentativo di BEC non venga identificato come sospetto dal destinatario del messaggio e-mail. Alcune policy come l’approvazione di più persone per le richieste di modifica di un conto bancario o le conferme fuori banda obbligatorie sono spesso utili come ultima linea di difesa contro gli attacchi di compromissione della posta elettronica aziendale (BEC).
Il 73% delle aziende non è pronto per un attacco BEC.
La vostra azienda è pronta? Per saperne di più sugli attacchi BEC e su molti altri modi per bloccarli potete scaricare il white paper di Osterman "How to Deal with Business Email Compromise" (Come gestire gli attacchi BEC), sponsorizzato da SonicWall.
This post is also available in: Inglese Portoghese Francese Tedesco Spagnolo
