Gli attacchi tramite scam BEC (Business Email Compromise), uno dei tipi di cyberfrode più diffuso, hanno causato danni per miliardi di dollari negli ultimi anni.
In questo numero di Threat Spotlight, la rubrica di Barracuda che analizza una minaccia al mese, Barracuda prende in esame diverse tipologie di attacchi BEC, analizzati dal tema Barracuda Sentinel.
La minaccia
I criminali sfruttano gli attacchi Business Email Compromise (BEC) per guadagnare l’accesso a un account email aziendale e, imitando l’identità del possessore della mailbox, frodare l’azienda o i suoi dipendenti, clienti e partner. In molti casi, gli scammer concentrano i loro sforzi su dipendenti con accesso alle finanze aziendali o ai libri paga e altre informazioni personali.
Per comprendere meglio obiettivi e metodologia degli attacchi BEC, Barracuda ha compilato una statistica su 3.000 attacchi selezionati a caso tra quelli identificati dal sistema Barracuda Sentinel. La tabella seguente riassume gli obiettivi degli attacchi:
| Obiettivi dell’attacco | Link presente | Percentuale |
| Bonifico | No | 46.90% |
| Clic su link pericoloso | Sì | 40.10% |
| Stabilire un rapporto | No | 12.20% |
| Sottrarre informazioni | No | 0.80% |
La tabella riassume gli obiettivi degli attacchi. I risultati indicano che il BEC più frequente negli attacchi esaminati consiste nel tentativo di spingere il destinatario a effettuare un bonifico su un conto controllato dal criminale, mentre lo 0,8% degli attacchi punta a ottenere informazioni personali, tipicamente (negli USA) sotto forma di moduli W2 contenenti il numero di social security. Ecco qui un esempio recente (i nomi sono ovviamente di fantasia)
In circa il 40% dei casi, al destinatario viene chiesto di cliccare su un link, come vedete nell’esempio qui.
Nel 12% degli attacchi il criminale cerca di stabilire un rapporto con la vittima avviando una conversazione (ad esempio, chiedendo se la vittima è disponibile per un lavoro urgente).
In quest’ultimo esempio, nella stragrande maggioranza dei casi, dopo la prima email di risposta il criminale chiede di effettuare un bonifico.
Un’osservazione importante è che circa il 60% degli attacchi BEC non contiene link: l’attacco è una mail di solo testo congegnata per ingannare il destinatario spingendolo a trasferire denaro o fornire informazioni personali. Questi messaggi sono particolarmente problematici per i normali sistemi di sicurezza perché spesso, oltre a non contenere link sospetti, vengono inviati da account email legittimi e sono confezionati su misura per ciascun destinatario.
Barracuda ha inoltre analizzato gli attacchi rivolti a 50 aziende scelte a caso classificandoli in base ai ruoli dei destinatari e a quelli (fasulli) dei mittenti:
| Ruolo | Destinatario | Mittente fasullo |
| CEO | 2.2% | 42.9% |
| CFO | 16.9% | 2.2% |
| C-Level | 10.2% | 4.5% |
| Finanza / HR | 16.9% | 2.2% |
| Altri | 53.7% | 48.1% |
Dalla tabella appare chiaro che il termine “CEO fraud” usato per descrivere gli attacchi BEC è ampiamente giustificato: circa il 43% dei mittenti si fingono il CEO o il fondatore.
Sul fronte dei destinatari, gli attacchi colpiscono in modo più omogeneo diversi ruoli. Ma va notato che nel 57% dei casi il mittente fasullo non è in realtà il CEO.
Quasi la metà dei ruoli fasulli e oltre la metà degli obiettivi non corrispondono a posizioni sensibili (top manager, finanza, HR). Se ne deduce che limitarsi proteggere il personale dei dipartimenti sensibili non è sufficiente.
Cosa fare:
- Non effettuare mai bonifici senza prima avere parlato di persona con chi lo richiede. Prestare maggiore attenzione alle chiamate telefoniche se le uniche informazioni di contatto sono incluse nell’e-mail potenzialmente fraudolenta.
- Poiché il CEO è il ruolo più sfruttato, l’utente dovrebbe porre particolare attenzione alle email provenienti da questo account. Se il CEO fa una particolare richiesta o non è così normale ricevere una mail dal CEO, l’utente dovrebbe accertarsi dell’identità del mittente prima di compiere qualunque azione.
- Introdurre un programma di formazione per insegnare agli utenti come identificare un attacco BEC, da ripetere periodicamente per aggiornarli sulle tecniche più recenti.
- Adottare un sistema di protezione email come Barracuda Sentinel per bloccare automaticamente lo spear phishing e gli attacchi che possono portare a uno scam BEC.
Le soluzioni Barracuda
Difesa in tempo reale da spear phishing e cyberfrodi. Barracuda Sentinel è l’unica soluzione sul mercato in grado di prevenire automaticamente il furto di account email. Sentinel si basa su tre livelli di intervento: un motore di intelligenza artificiale che blocca gli attacchi spear phishing in tempo reale, anche se le email provengono dall’interno dell’azienda; visibilità sulle domain fraud utilizzando l’autenticazione DMARC per la protezione da domain spoofing e brand hijacking; formazione con frodi simulate per i soggetti a più alto rischio.
Formazione dell’utente. Il personale dovrebbe essere regolarmente formato e la preparazione valutata, per migliorare la conoscenza dei diversi attacchi mirati. La formazione basata su attacchi simulati è di gran lunga il metodo di formazione più efficace. Barracuda PhishLine permette di fornire una formazione completa dell’utente, completa di test, ed effettuare simulazioni con email, voicemail e SMS oltre ad altri tool utili per addestrare gli utenti a identificare i cyberattacchi.
