Attacchi di Business Email Compromise (BEC) ed Email Account Compromise (EAC) colpiscono aziende e organizzazioni di ogni settore e dimensione, causando danni economici complessivi superiori rispetto a ogni altro tipo di attacco informatico. Secondo dati dell’FBI, da giugno 2016 a giugno 2019, la perdita complessiva per le aziende è stata di 26,2 miliardi di dollari. E solo nel 2019, le truffe BEC hanno rappresentato più della metà di tutte le perdite di criminalità informatica – una cifra stimata a 1,77 miliardi di dollari. La perdita media per ogni singolo incidente BEC nel 2019 è stata di 74.723 dollari.
Un’ulteriore indicazione di quanto esteso sia il problema BEC/EAC arriva da Proofpoint, che blocca oltre 15.000 messaggi illegittimi/BEC ogni giorno lavorativo, pari a quasi 4 milioni di messaggi in un anno.
Cosa è il BEC Supplier Fraud
Si definisce BEC supplier fraud uno schema sofisticato e complesso per sottrarre denaro presentando una fattura fraudolenta come legittima o reindirizzando il pagamento su un conto bancario controllato dall’attaccante.
Se si considerano le somme importanti associate alle fatture dei fornitori, queste truffe sono spesso le più costose per le organizzazioni vittime.
Proofpoint ha bloccato numerosi tentativi di fatturazione da parte di realtà illegittime per un valore nell’ordine di milioni di dollari.
Le frodi BEC legate ai fornitori hanno colpito anche persone e organizzazioni note al grande pubblico. Nel 2018 la società calcistica Lazio ha versato in modo inconsapevole 2 milioni di euro a cybercriminali che le avevano fatto pervenire una fattura che sembrava provenire dalla società olandese del Feyenoord, nell’ambito del trasferimento del calciatore Stefan de Vrij. I responsabili della truffa sono stati arrestati nel 2020.
Come per tutte le truffe che utilizzano la posta elettronica, anche in questo caso gli hacker si affidano al furto di identità e al social engineering per convincere la vittima a trasferire denaro. Ma ciò che distingue questo tipo di frodi BEC non è solo la somma particolarmente alta, ma anche la loro natura complessa.
Se le truffe con le gift card sono relativamente semplici, utilizzando magari un’unica e-mail indirizzata a un solo dipendente, le truffe con i fornitori sono più articolate, implicano la compromissione e imitazione di partner fidati e si svolgono in più fasi contro più individui e organizzazioni. L’impersonificazione può avvenire sia a livello di account che a livello di dominio (ad esempio domain lookalike).
Di seguito uno schema tipico di BEC Supplier Fraud