Le email sono ordinario veicolo di molte minacce per ognuno di noi: spam, phishing, malware. Molto spesso siamo bersaglio senza rappresentare un diretto interesse per gli agenti di minaccia. Abbiamo già visto varianti di attacchi via posta elettronica che mirano a obiettivi più specifici e noti, ma ora parliamo di una versione ancora più specializzata: la compromissione delle email commerciali, una forma che si configura in una vera e propria truffa telematica. 

Questa minaccia individua i propri obiettivi tra il personale amministrativo di aziende commerciali e finanziarie, personale che viene studiato per diverso tempo per verificarne la responsabilità e coinvolgimento dei processi di pagamento. A tal fine si utilizzano differenti tecniche di social engineering, phishing e furto di credenziali. Lo scopo ultimo è poter intervenire fraudolentemente all’interno del processo amministrativo con comunicazioni falsificate che possano dirottare capitali verso l’attaccante, unico beneficiario di questa truffa. 

Lo studio può durare molto tempo perché l’attaccante deve impossessarsi non solo delle informazioni relativamente alla possibilità di un attacco (conoscenza di relazioni commerciali, contratti, compravendite, ecc), ma anche e soprattutto ha bisogno di impossessarsi di informazioni utili alla falsificazione delle comunicazioni, quindi non solo nomi, ruoli ed indirizzi email, ma anche linguaggio, comportamenti e carattere dei personaggi che verranno falsificati, tipicamente i dirigenti che sono al vertice dei processi decisionali sui pagamenti. Non è necessario violare direttamente gli account di tali dirigenti, ma è sufficiente avere accesso alle loro email attraverso contatti minori, come la segretaria o i destinatari delle comunicazioni che si intenderà falsificare (ufficio amministrativo). 

Questo tipo di minaccia non è facilmente individuabile, specie in caso di compromissione di account di posta. Le email BEC non sono spam, non contengono malware ed il contenuto è coerente con le comunicazioni all’interno dei processi aziendali. Nessuno può dubitare della veridicità di tali messaggi e nessuno strumento è in grado di individuare le tracce tecniche di compromissione. 

L’unica profilassi è utilizzare canali secondari di conferma diretta rispetto alle richieste di pagamento: chiamare i fornitori che reclamano un pagamento, chiamare il dirigente che ordina un pagamento attraverso posta elettronica, diffidare di qualsiasi indicazione che coinvolga variazioni nel processo di pagamento (es. variazioni di IBAN). 

Il fenomeno delle truffe BEC ha dimensioni notevoli, con un giro di “affari”, se così si può dire, milionario. Non tutte le società però sono ben disposte a parlare di questi incidenti, pertanto il fenomeno potrebbe essere addirittura sottostimato.

Tweet