Sai cosa sono gli attacchi BEC?

di Pier Luigi Rotondo



I Business email Compromise, o semplicemente BEC, sono schemi di attacco che mirano a trarre in inganno i dipendenti di un’azienda, inducendoli ad autorizzare o effettuare pagamenti fraudolenti per beni o servizi verso conti fittizi riconducibili a gruppi di cyber criminali.

Esistono molte varianti di BEC. In tutte, a differenza del normale phishing da cui ha origine, viene estremizzato il social engineering, anche compromettendo le caselle di posta elettronica di dipendenti che ricoprono posizioni chiave. L’obiettivo è avere accesso a informazioni su beni e servizi realmente acquistati e spediti per inviare le email con richieste di pagamento fraudolente da account reali, oppure inserirsi in comunicazioni realmente avvenute tra un fornitore e un cliente. Questi accorgimenti consentono di aumentare l’autorevolezza, e di conseguenza la fiducia, nei confronti delle richieste di pagamento ricevute dalla vittima.

La forma più comune di BEC prevede la compromissione di caselle email aziendali per inviare finte fatture a clienti, nelle quali le coordinate di pagamento corrispondono però a conti riconducibili o sotto il controllo di team di cyber criminali [1]. In alcune varianti viene compromessa la email di personale in posizione apicale per impartire ordini di pagamento fittizi, oppure per autorizzare pagamenti, oppure ancora per approvare il cambio delle coordinate bancarie del fornitore con coordinate di pagamento correlati al team cyber criminale.

Le versioni più recenti di questi attacchi combinano, a sofisticate tecniche di social engineering e spear phishing, anche l’utilizzo di malware specializzato per frodi bancarie.

Impatto economico

Combinando diverse fonti, l’Internet Crime Complaint Center (IC3) dell’FBI ha valutato in oltre 12 miliardi di dollari il danno economico complessivo negli ultimi cinque anni [2], con circa 80000 incidenti analizzati in oltre 150 nazioni.

La perdita per singola frode è notevole. Questo schema di attacco prende di mira aziende di tutte le dimensioni, e in alcuni casi anche singoli individui.

Nuove varianti

La tattica operativa si evolve continuamente.

In alcuni casi recentemente analizzati [3], dei malware sono stati inseriti come allegati all’interno di conversazioni realmente avvenute tra la vittima e una controparte nota. All’atto pratico, la vittima riceve una risposta ad una conversazione già in corso, oppure un nuovo messaggio da un interlocutore ben noto, verso il quale ha già effettuato pagamenti legittimi per beni o servizi ricevuti. Questo modus operandi mira ad aumentare la fiducia della vittima nei confronti dell’allegato ricevuto, inducendolo ad aprirlo con minore indugio. L’allegato, una volta aperto, scarica o attiva un malware che contribuisce all’attacco, impossessandosi di liste di contatti o credenziali per l’accesso ad altri servizi, oppure facendo comparire sullo schermo messaggi forvianti. Le campagne che durante il 2018 hanno diffuso il malware Ursnif [3] specializzato per frodi bancarie, anche in Italia, hanno fatto largo uso di tale espediente.

La pubblicazione a Gennaio 2019 di #Collection1, una raccolta con oltre 700 milioni di indirizzi email e decine di milioni di password, non ha fatto che accrescere il variegato panorama degli attacchi Business Email Compromise verificatisi nei mesi successivi.

Il gruppo di ricerca IBM X-Force [4] riporta che il 29% di tutti gli attacchi osservati durante l’intero 2018 ha avuto origine con email di phishing, e il 45% di queste ha contribuito di schemi Business Email Compromise.

La buona pratica di verificare la controparte, ad esempio con una telefonata, si mostra sempre meno efficacie. In alcuni casi, a email di tipo BEC sono poi seguite telefonate da parte di cyber criminali che a voce convalidavano il cambio delle modalità di pagamento, ingannando la vittima, e contribuendo alla frode. Alcune vittime hanno riportato di non essere state in grado di distinguere tra telefonate legittime e telefonate fraudolente.

Come proteggersi?

  • Formare periodicamente il personale maggiormente esposto, come gli addetti agli acquisti, ai pagamenti, e più in generale dei dipartimenti finanziari, addestrandolo a riconoscere prontamente e bloccare le più recenti ed evolute forme di spear-phishing e gli attacchi BEC.
  • Implementare policy e strumenti aziendali per la verifica e l’approvazione di qualsiasi cambiamento nella fatture esistenti, delle informazioni di pagamento. Campanello d’allarme sono le inattese variazioni delle forme di pagamento, come l’aggiornamento degli IBAN o più in generale le informazioni del destinatario di una transazione.
  • Estendere i processi aziendali, supportandoli con strumenti di Identity Governance and Administration per la gestione di regole di Separazione dei Ruoli/Attività (Segregation of Duties, o semplicemente SoD), evitando la concentrazione di attività critiche su un unico soggetto. Nel caso specifico delle più recenti forme di frodi BEC, impedire che sulla stessa persona ricada l’attività di autorizzazione dei pagamenti, la disposizione del pagamenti, e l’aggiornamento delle informazioni bancarie dei fornitori.
  • Implementare regole stringenti sui bonifici internazionali, individuando prontamente quelli verso i paesi più a rischio. Secondo FBI [2] la maggior parte delle transazioni fluisce su conti in Cina e Hong-Kong, con alcuni casi anche casi verso Regno Unito, Messico e Turchia.
  • Adottare con la massima urgenza sistemi di autenticazione a più fattori (MFA), autenticazione biometrica o authenticator App per l’accesso ai servizi di posta elettronica.
  • Utilizzare sistemi di posta elettronica che consentano di verificare sempre l’autenticità e l’integrità delle email, attivando la crittografia a chiave pubblica e la firma digitale dei messaggi, già presente in quasi tutti i sistemi di posta elettronica, oppure semplicemente usando la Posta Elettronica Certificata.
  • Istruire tutti gli addetti a usare una piattaforma di Threat Intelligence per verificare l’eventuale pericolosità degli allegati prima di aprirli.

Riferimenti

[1] Pier Luigi Rotondo IBM X-Force: un passo avanti nella difesa dagli attacchi finanziari più evoluti IBM thinkMagazine, Febbraio 2018
[2] Business E-mail Compromise The 12 Billion Dollar Scam - Public Service Announcement FBI, Luglio 2018
[3] Rapporto CLUSIT 2019 sulla sicurezza ICT in Italia CLUSIT, Febbraio 2019
[4] The IBM X-Force Threat Intelligence Index 2019 IBM X-Force, Febbraio 2019

11 giugno 2019

Pier Luigi Rotondo, cyber security architect, IBM Italia
@pgrotondo

Visit us on LinkedIn