Avanan ha bloccato un attacco hacker camuffato da Chief Financial Officer di un’organizzazione sportiva che hanno utilizzato la tecnica dell’attacco BEC (Business E-mail Compromise). Gli aggressori hanno cercato di ingannare un dipendente del finance per inviare fondi a una presunta compagnia assicurativa. Durante un attacco BEC gli hacker personificano i responsabili di un’organizzazione per ottenere un guadagno economico.
Casi in aumento di attacco hacker al mondo dello sport
I ricercatori Avanan, una Check Point Software company, avvertono che, facendo leva sul desiderio dei dipendenti di ottenere risultati agli occhi del proprio capo, questi attacchi informatici sono in aumento. Infatti, già a maggio, l’FBI aveva riportato un aumento del 62% delle perdite tra luglio 2019 e dicembre 2021. Questa cifra è stata sottratta da circa un quarto di milione di episodi segnalati. Nel 2021, 40 milioni di dollari di perdite erano legate alle criptovalute; nel 2020, invece la cifra era più vicina ai 10 milioni di dollari.
Attacco hacker al mondo dello sport, come avviene l’attacco BEC
La metodologia del cyberattacco Business E-mail Compromise è la seguente:
gli hacker hanno creato un account fasullo del CFO dell’azienda.
Individuano l’indirizzo e-mail di un membro del team finance.
Creano un’e-mail che sembra inoltrata dal CFO, con le istruzioni per un bonifico.
Il finto CFO chiede di effettuare un bonifico istantaneo.
Se il dipendente abbocca, il denaro finisce sul conto degli hacker.
Due esempi
All’utente viene inviata un’e-mail dal CFO che chiede di effettuare un pagamento a una compagnia assicurativa legittima, la West Bend Mutual. Ancora più ingegnoso è il fatto che l’URL nell’indirizzo del mittente è tratto dal loro slogan. Tuttavia, si tratta di un falso, poiché l’indirizzo “reply-to” in cima all’e-mail è diverso dall’indirizzo e-mail della società. Si può notare il banner che mostra che la non provenienza dal mittente visualizzato.
Questo è stato aggiunto da Office 365 generico dell’utilizzatore, non da Proofpoint, l’unico elemento che farebbe capire che qualcosa non va. Si tratta di un’e-mail quasi identica e di questi attacchi se ne sono visti a decine. Si possono notare due differenze: non c’è un banner esterno che avvisa l’utente finale del potenziale pericolo. Inoltre l’e-mail “Get in touch” in basso scrive “Silver Linning” anziché “Silver Lining”.
Attacco hacker allo sport, i consigli di Avanan
Queste sono alcune best practice da mettere in essere:
Rispondendo all’e-mail, controllare sempre gli indirizzi assicurandosi che corrispondano.
In caso di dubbi su un’e-mail, chiedere al mittente originale.
Incoraggiare gli utenti a chiedere al reparto finance prima di agire.
Leggere l’intera e-mail, cercare eventuali incongruenze, errori ortografici o discrepanze.
Se si utilizzano i banner, assicurarsi di non bombardare gli utenti finali con essi ma utilizzarli solo in momenti critici.
Implementare l’autenticazione a più fattori per tutti gli account, in particolare per le e-mail.
Configurare gli account per notificare l’utente quando ci sono modifiche
Utilizzare un gestore di password per crearle e conservarle.
Ricordare di condividere informazioni personali solo in tempo reale, di persona o per telefono. Incoraggiarli a essere scettici su tutti i messaggi con link e a verificare sempre con il mittente, in tempo reale, tutti i messaggi con file allegati.
Le considerazioni di Proofpoint
L’ingegneria sociale rappresenta oggi un elemento essenziale per quasi tutti i cybercriminali che utilizzano le email come vettore di accesso iniziale. Dalla criminalità informatica a sfondo finanziario alle frodi BEC (Business Email Compromise), fino alle minacce APT (Advanced Persistent Threat),Proofpoint ha osservato una grande varietà di tattiche, tecniche e procedure che si basano sulla fondamentale propensione degli esseri umani ad aprire e rispondere alle email.
Man mano che le persone imparano a identificare i potenziali rischi provenienti dalla loro casella di posta, i cybercriminali hanno dovuto far evolvere i propri metodi di attacco. Questo significa fare leva su comportamenti che possono essere antitetici rispetto a quelli che ci aspetta.
La diffusione dell’ingegneria sociale è frutto della sua efficacia e nonostante gli innumerevoli sforzi di protezione, i criminali informatici continuano ad avere successo nello sfruttare l’elemento umano per ottenere ritorni economici. È improbabile che la situazione cambi velocemente e per questo le organizzazioni criminali più sofisticate si sono evolute in modo da rispecchiare ed emulare le aziende.
Gli attaccanti sono diventati più resilienti, ottenendo maggiori profitti rispetto al passato. Finché l’anello debole continuerà a essere l’individuo, gli attori delle minacce continueranno a capitalizzare sfruttando comportamenti, istinti ed emozioni umane.
