Noti per essere uno dei tipi di cyberfrode più diffuso, gli attacchi tramite scam BEC (Business Email Compromise) vengono sfruttati per guadagnare l’accesso a un account email aziendale.
Imitando l’identità del possessore della mailbox, diventa così facile frodare l’azienda o i suoi dipendenti, clienti e partner. In molti casi, gli scammer concentrano i loro sforzi su dipendenti con accesso alle finanze aziendali o ai libri paga e altre informazioni personali causando danni per miliardi di dollari, come accaduto negli ultimi anni.
Proprio di questa tipologia di attacchi se ne è interessata Barracuda Networks che, per comprendere meglio obiettivi e metodologia degli attacchi BEC, ha compilato una statistica su 3.000 attacchi selezionati a caso tra quelli identificati dal sistema Barracuda Sentinel.
Ne è risultato che il BEC più frequente negli attacchi esaminati consiste nel tentativo di spingere il destinatario a effettuare un bonifico su un conto controllato dal criminale, mentre lo 0,8% degli attacchi punta a ottenere informazioni personali, tipicamente (negli USA) sotto forma di moduli W2 contenenti il numero di social security.
In circa il 40% dei casi, al destinatario viene chiesto di cliccare su un link, mentre nel 12% degli attacchi il criminale cerca di stabilire un rapporto con la vittima avviando una conversazione (ad esempio, chiedendo se la vittima è disponibile per un lavoro urgente). In quest’ultimo esempio, nella stragrande maggioranza dei casi, dopo la prima email di risposta il criminale chiede di effettuare un bonifico.
Nessun link sospetto e email sempre più difficili da smascherare
Un’osservazione importante è che circa il 60% degli attacchi BEC non contiene link: l’attacco è una mail di solo testo congegnata per ingannare il destinatario spingendolo a trasferire denaro o fornire informazioni personali. Questi messaggi sono particolarmente problematici per i normali sistemi di sicurezza perché spesso, oltre a non contenere link sospetti, vengono inviati da account email legittimi e sono confezionati su misura per ciascun destinatario.
Barracuda ha inoltre analizzato gli attacchi rivolti a 50 aziende scelte a caso classificandoli in base ai ruoli dei destinatari e a quelli (fasulli) dei mittenti.
Ne viene fuori un quadro in cui il termine “CEO fraud” usato per descrivere gli attacchi BEC è ampiamente giustificato: circa il 43% dei mittenti si fingono il CEO o il fondatore.
Sul fronte dei destinatari, gli attacchi colpiscono in modo più omogeneo diversi ruoli. Ma nel 57% dei casi il mittente fasullo non è in realtà il CEO. Quasi la metà dei ruoli fasulli e oltre la metà degli obiettivi non corrispondono a posizioni sensibili, come top manager, finanza o HR.
Se ne deduce che limitarsi a proteggere il personale dei dipartimenti sensibili non è sufficiente.
Consigli utili per difendersi al meglio
In base alle evidenze, Barracuda suggerisce di:
- Non effettuare mai bonifici senza prima avere parlato di persona con chi lo richiede.
- Prestare maggiore attenzione alle chiamate telefoniche se le uniche informazioni di contatto sono incluse nell'e-mail potenzialmente fraudolenta.
- Poiché il CEO è il ruolo più sfruttato, l’utente dovrebbe porre particolare attenzione alle email provenienti da questo account. Se il CEO fa una particolare richiesta o non è così normale ricevere una mail dal CEO, l’utente dovrebbe accertarsi dell’identità del mittente prima di compiere qualunque azione.
- Introdurre un programma di formazione per insegnare agli utenti come identificare un attacco BEC, da ripetere periodicamente per aggiornarli sulle tecniche più recenti.
- Adottare un sistema di protezione email come Barracuda Sentinel per bloccare automaticamente lo spear phishing e gli attacchi che possono portare a uno scam BEC.
Perché la tecnologia da sola non basta
SEppure Barracuda Sentinel risulti l’unica soluzione sul mercato in grado di prevenire automaticamente il furto di account email perché basata su tre livelli di intervento, la formazione degli utenti non dovrebbe mai venir meno.
Nello specifico, la formazione basata su attacchi simulati è di gran lunga il metodo di formazione più efficace. Ed è per questo che Barracuda PhishLine permette di fornire una formazione completa dell’utente, completa di test, ed effettuare simulazioni con email, voicemail e SMS oltre ad altri tool utili per addestrare gli utenti a identificare i cyberattacchi.