Stefano Pinato, country manager Barracuda Networks per l’Italia, affronta il tema degli attacchi BEC, spiegando perché non vadano sottovalutati.
Gli attacchi phishing sono uno dei più comuni problemi di sicurezza che persone e aziende si trovano a fronteggiare per mantenere al sicuro le proprie informazioni. Per accedere ai dati aziendali o personali, gli hacker usano email, telefonate via social media o qualunque altra forma di comunicazione.
Ransomware, phishing e simili cyberminacce (come lo spear phishing/whaling, le Ceo Fraud o il Business Email Compromise – BEC) sono i fenomeni più diffusi. Sia il ransomware sia il phishing sono problemi critici che ogni organizzazione dovrebbe e può affrontare in diversi modi: formazione degli utenti, soluzioni di sicurezza, analisi delle vulnerabilità, raccolta di informazioni sulle ultime minacce, buoni processi di backup e, naturalmente, il buon senso.
Una delle cyberfrodi più diffuse è la Business Email Compromise, o scam BEC. Questi attacchi sono stati responsabili negli ultimi anni di frodi per miliardi di dollari e i criminali si stanno facendo sempre più scaltri. BEC è una forma di attacco phishing in cui il cybercriminale, fingendo di essere un top manager (spesso il Ceo), cerca di convincere un dipendente, un cliente o un fornitore a trasferire somme di denaro o informazioni sensibili.
Nella maggior parte dei casi, i criminali concentrano i loro sforzi su dipendenti con accesso ai dati finanziari o ai libri paga o altre informazioni personali. In genere gli attacchi tendono a spingere il destinatario a effettuare un bonifico su un conto corrente controllato dal criminale. Talvolta chiede al destinatario di inviare informazioni personali (negli Usa, ad esempio, i modelli W2 dai quali è possibile recuperare i social security number).
Un’altra importante osservazione è che una grossa percentuale degli attacchi BEC non comporta l’uso di link: l’attacco è una semplice mail testuale, particolarmente difficile da identificare da parte degli attuali sistemi di sicurezza mail perché normalmente vengono inviate da un account email del tutto legittimo, confezionate su misura per ogni destinatario e non contengono link sospetti. In molti degli attacchi, inoltre, il criminale cerca di stabilire un rapporto con il destinatario avviando una conversazione (ad esempio chiedendogli se è disponibile per un lavoro urgente). Alla risposta normalmente segue la richiesta di effettuare il bonifico.
La domanda a questo punto è: come tenere lontani questi attacchi?
Per cominciare, non si dovrebbe mai fare un bonifico senza avere parlato di persona o al telefono con chi fa la richiesta (facendo comunque attenzione all’autorizzazione/richiesta telefonica se l’unica informazione di contatto è il numero indicato nella mail). Poiché quello del Ceo è il ruolo più ambito dai criminali, gli utenti dovrebbero porre particolare attenzione alle mail provenienti da questo account.
Se il CEO fa una richiesta o se è raro ricevere mail dal CEO, l’utente dovrebbe verificarne l’identità prima di compiere qualunque azione. È anche importante che le organizzazioni implementino un programma di formazione per aiutare gli utenti a riconoscere gli attacchi BEC e continuare a formarli periodicamente sulle più recenti tecniche e a valutarne le conoscenze acquisite. Barracuda Sentinel riunisce tre potenti livelli: un motore di intelligenza artificiale capace di bloccare gli attacchi di spear phishing in tempo reale, controllando anche le mail che provengono dall’interno dell’azienda, la visibilità sulle frodi di dominio mediante l’autenticazione DMARC per la protezione dal domain spoofing e la formazione mediante simulazioni per gli individui più a rischio.
È particolarmente importante che le persone siano formate regolarmente e valutate al fine di migliorare la conoscenza dei rischi per la sicurezza di diverse tipologie di attacchi mirati. La formazione mediante attacchi simulati è di gran lunga il metodo più efficace. Barracuda PhishLine offre programmi completi di formazione e valutazione SCORM-compliant oltre a simulazioni di phishing via email, voicemail e sms, insieme con altri utili strumenti. Ma non basta. In primo luogo bisogna cambiare quelle abitudini che mettono a rischio l’azienda, cominciando dalle comunicazioni interne e dal comportamento degli utenti.