Ryan Kalember, EVP Cybersecurity Strategy di Proofpoint, spiega come la Business Email Compromise rappresenti una seria minaccia per le imprese. La BEC, o Business Email Compromise, viene spesso definita come il problema più costoso in tema di cybersecurity. Durante il recente Gartner Security Summit, è salito alla ribalta come una delle principali minacce che le organizzazioni di tutto il mondo si trovano ad affrontare. Ed è certamente un problema globale, con casi recenti segnalati in 150 paesi diversi. Ciò che rende l’incremento della BEC così preoccupante non è necessariamente la sua crescente prevalenza – gli attacchi sono aumentati del 297% nel 2018 – ma il suo preoccupante tasso di successo. Solo tra dicembre 2016 e maggio 2018, il valore delle perdite esposte identificate è aumentato del 136%.
Se ne è interessato la stessa FBI, che lo scorso settembre ha lanciato un allarme sul tema, stimando in circa 26 miliardi di dollari il costo per le imprese di tutto il mondo, dal 2016 a oggi.
L’anatomia di un attacco BEC Per comprendere il continuo successo della BEC, dobbiamo prima di tutto capire la meccanica di questo tipo di attacco. Si parla di BEC quando un aggressore si pone come persona di fiducia all’interno di un’organizzazione per dirottare fondi o accedere a dati privilegiati. Questo si verifica tramite spoofing di un dominio aziendale o attraverso la gestione di un account di posta elettronica legittimo. Gli attacchi BEC sono generalmente molto mirati, rivolti a responsabili decisionali specifici o comunque a persone dotate di una determinata responsabilità. Chiunque sia autorizzato a concludere transazioni finanziarie nel corso del normale svolgimento delle sue attività è potenzialmente un bersaglio.
Un attacco BEC sofisticato si articola solitamente in quattro step:
La ricerca: Differentemente da quanto accade negli attacchi di massa, gli aggressori via BEC dedicano tempo per identificare individui specifici all’interno di un’organizzazione. Le informazioni vengono raccolte da una o più fonti per creare comunicazioni credibili una volta che compromesso l’account. Il lavoro di preparazione: I cybercriminali spesso tentano di stabilire relazioni con chi ha un’autonomia decisionale finanziaria. Condotta solitamente attraverso account di posta elettronica falsificati o compromessi, questa interazione può durare giorni, o addirittura settimane o mesi, per costruire fiducia e familiarità. La trappola: Una volta che l’aggressore ha compromesso uno o più account, ed è sicuro che la vittima li ritenga autentici, fa la sua mossa. Nella maggior parte dei casi, al destinatario viene richiesto di eseguire un bonifico bancario o di modificare i dettagli di un pagamento esistente in corso. La frode: Nella convinzione che la richiesta sia autentica, la vittima invia fondi sul conto del truffatore. Questi vengono generalmente trasferiti in modo molto rapido, rendendoli più difficili da recuperare anche dopo che la scoperta di frode.
Poiché le truffe assumono spesso la forma di una normale richiesta e sembrano provenire da mittenti legittimi, sono incredibilmente difficili da individuare. Inoltre, a differenza di altri popolari vettori di minaccia, un attacco BEC non ha nessun payload sospetto, nessun collegamento phishing o allegato ricco di malware – niente che possa far scattare un allarme automatico. Una volta che un account è stato fisicamente compromesso, l’aggressore si trova all’interno delle difese dell’organizzazione. E senza allegati sospetti o link non verificati che possano far scattare l’allarme, le richieste fraudolente superare anche la più solida linea sicurezza email e finire direttamente nella casella di posta della potenziale vittima inconsapevole.
Questo tipo di attacchi colpisce le persone, non le reti, e gioca con la psicologia umana. I dipendenti di livello inferiore, che possono essere oggetto di richieste fraudolente, sono meno inclini a mettere in discussione l’autorità di CEO, CFO o simili. Gli aggressori si affidano all’istinto umano naturale, che tende a fidarsi di chi detiene l’autorità.
