Cybersecurity, Email

Cosa sono e come funzionano le truffe BEC (Business Email Compromise)

20 Novembre 2018

L’email è lo strumento di comunicazione maggiormente utilizzato dalle aziende di tutto il mondo.

Proprio per questo è anche quello più usato dai cyber criminali per compiere attacchi e nefandezze varie.

Un tipo particolare di attacco ha trovato terreno molto fertile di recente: si tratta delle truffe BEC (Business Email Compromise).

Ma come funzionano? Immagina questa situazione: in amministrazione arriva un’email in cui un tuo fornitore scrive per comunicarti che l’IBAN a cui di solito gli invii i bonifici bancari è cambiato.

Qual è la prima cosa che fai?

Se sei una persona scrupolosa controlli l’indirizzo email, ma ti accorgi che è lo stesso con cui sei in contatto di solito. Controlli l’ortografia: sembra buona.

A questo punto pensi di poter procedere tranquillamente con il cambio di IBAN e che non ci sia alcun pericolo informatico nascosto in quel messaggio.

Sbagliato!

Gli attacchi BEC utilizzano diversi tipi di strategie che mirano a impersonare un contatto di cui ti fidi.

Utilizzando un mix di ricerche e tecniche di social engineering, i cyber criminali ti faranno credere di essere una persona con cui fai affari, un tuo fornitore, un dirigente d’azienda o addirittura un esponente delle forze dell’ordine che chiede informazioni personali su qualcuno, in modo da utilizzarle per attacchi BEC successivi.

truffe bec

 

Gli hacker possono utilizzare indirizzi email che somigliano a quelli a te noti (cosiddetti lookalike domain), ma molto spesso sono degli indirizzi totalmente validi le cui credenziali sono state ottenute tramite email di phishing, attacchi brute force o acquistate sul dark web in seguito a data breach.

Se sei interessato a capire se le tue credenziali o quelle dei tuoi clienti sono in vendita sul dark web, ascolta questo episodio di RadioAchab.

La caratteristica principale dei messaggi BEC è la totale assenza di malware o link pericolosi. Questo gli consente di oltrepassare facilmente tutti i sistemi di sicurezza tradizionali.

Esempi di truffe BEC

Ti riporto alcuni casi in cui viene utilizzato questo tipo di attacco.

  • Transazioni immobiliari: durante le transazioni per l’acquisto di immobili, i criminali potrebbero impersonare venditori, agenti immobiliari o studi legali per convincere con l’inganno chi acquista una casa a trasferire i soldi sul loro conto.
  • Furto di dati: i cyber criminali possono usare l’indirizzo email di un dirigente per richiedere documenti o informazioni personali al reparto risorse umane.
  • Supply chain: come ti dicevo prima, i criminali spesso si servono di attacchi BEC per inserirsi nelle trattative con i fornitori e reindirizzare i pagamenti sul proprio conto.
  • Studi legali: gli hacker possono anche assumere l’”identità” di un rappresentante di uno studio legale per ottenere informazioni su cause giudiziarie in corso o per avere accesso ad altri documenti e informazioni riservate.

Solo negli Stati Uniti a luglio 2018 si contavano già 41 mila casi di BEC e secondo i dati rilasciati dall’FBI il volume d’affari complessivo di questo tipo di attacchi tra ottobre 2013 e maggio 2018 è stato di 12,5 miliardi di dollari.

Ma anche in Italia sono sempre di più i casi in cui i truffatori sfruttano gli attacchi Business Email Compromise con successo.

Pensa che di recente anche la società calcistica S.S. Lazio è stata vittima di una truffa da 2 milioni di euro.

Perché le minacce Business Email Compromise sono tanto pericolose?

Gli attacchi BEC sono progettati per bypassare i meccanismi di sicurezza come filtri antispam e antivirus e sono così pericolosi perché:

  • non contengono malware. Gli attacchi BEC normalmente non contengono alcun tipo di software dannoso, ma si servono di sofisticate tecniche di social engineering per truffare gli utenti;
  • sono in grado di superare i filtri antispam. Spesso i messaggi BEC sono talmente ben fatti che è impossibile per un filtro antispam distinguerli da una qualunque email legittima;
  • sono altamente personalizzati. I cyber criminali fanno approfondite ricerche sulla vittima prima di lanciare un attacco. Spesso analizzano siti web, social media o addirittura il dark web alla ricerca di informazioni specifiche sull’azienda vittima e sui suoi dirigenti. Essendo a conoscenza anche dello stile di scrittura di chi intendono “impersonare”, smascherare questi hacker diventa molto complicato.

Ma quindi cosa puoi fare per identificare questo tipo di truffe ed essere sicuro che il tuo interlocutore sia chi dice di essere?

Per prima cosa occorre conoscere come questi attacchi vengano perpetrati, così da non dare per scontato che un dominio email o qualche informazione di base attestino l’identità di un individuo.

Inoltre, nel caso di cambi di IBAN o richieste di informazioni personali o delicate, è sempre buona norma fare degli ulteriori accertamenti, scrivendo a indirizzi email differenti o dando un colpo di telefono al nostro fornitore per avere conferma dell’IBAN sul quale eseguire il bonifico, ad esempio.

Se ti interessa saperne di più, abbiamo provato a dare qualche consiglio su come affrontare questa minaccia in un recente episodio del nostro podcast RadioAchab: puoi ascoltarlo qui!

Così come le email sono lo strumento più usato per dirigere degli attacchi, così Microsoft 365 è la soluzione email in cloud più diffusa. Facendo due più due è facile capire che è anche la più attaccata.

La sicurezza integrata in Microsoft 365 purtroppo non è sufficiente ad arginare gli attacchi moderni, caratterizzati da email di spam sempre diverse, spear phishing e attacchi BEC.

C’è una soluzione: Vade è il primo strumento di protezione di Microsoft 365 basato sull’intelligenza artificiale che ti consente di mettere davvero in sicurezza gli Office 365.

Se vuoi saperne di più su Vade e i vantaggi che può portare a te e ai tuoi clienti, abbiamo preparato un Webinar On Demand dedicato!

Guarda il Webinar On Demand
Autore
Gabriele Palumbo
Nasco a Bologna ma ho vissuto l’infanzia in Piemonte, l’adolescenza in Puglia e la maturità tra Umbria, Toscana, Puglia, Emilia-Romagna e Lombardia (e non è ancora finita). Ho avuto quindi modo di entrare in contatto con diversi ambienti e contesti sociali. Una formazione umanistica (Sociologia della devianza a Perugia e Relazioni Internazionali a Pisa), passione per la scrittura e decine di corsi sul mondo digital sono state ottime basi per entrare nel campo del marketing e della comunicazione. Nel 2015 pubblico il romanzo breve “Ci siamo solo persi di vista” e, a inizio 2019, pubblico la biografia della rock band “Ministri”, entrata in poche ore nei Top Sellers di Amazon. Un romanzo è in fase di scrittura. Terminati gli studi entro attivamente nel mondo della musica, organizzando svariati concerti e un festival, e della comunicazione digitale, gestendo la linea editoriale di blog e social e ricoprendo ruoli di copywriter e content editor. Nel 2017 entro nel collettivo Dischirotti. occupandomi dei contenuti web, mentre il 2018 mi vede prima nell’agenzia FLOOR concerti come booking agent per svariati artisti e poi in VOX concerti come direttore di produzione. Tornato a Bologna inizio a collaborare con l’etichetta discografica Manita Dischi come project manager e svolgo un tirocinio presso l’agenzia di marketing e comunicazione digitale Engine Lab, nel ruolo di content editor. Dal 2020 al 2023 ho collaborato, sia come editor che come contributor, con Fantastico.esclamativo, newsletter letteraria e rivista culturale creata da Alberto Guidetti de Lo Stato Sociale. Ogni due sabati invio “Capibara”, una newsletter che tratta di attualità e meme in un progetto che, occasionalmente, porto anche dal vivo sotto forma di Stand-Up. Attualmente ricopro il ruolo di Channel Marketing Manager in Achab, con particolare focus su contenuti editoriali, analytics, marketing automation e CMS.
Commenti (2)
Iscriviti
Notificami
guest
2 Commenti
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Raffaele Di Mauro
Raffaele Di Mauro
5 anni fa

Estremamente interessante e soprattutto una importante occasione di business. Grazie

Claudio Panerai
Claudio Panerai
5 anni fa

Non solo è un’occasione di business, ma è anche un’occasione per educare/evangelizzare i clienti rendendoli consapevoli di quello che succede, di quanto sono a rischio e del fatto che occorre "fare qualcosa".