Le truffe BEC (Business Email Compromise)

L’email è lo strumento di comunicazione maggiormente utilizzato dalle aziende di tutto il mondo. Forse proprio per questo è anche quello più usato dai cyber criminali per compiere attacchi e nefandezze varie. Un tipo particolare di attacco ha trovato terreno molto fertile di recente: si tratta delle truffe BEC (Business Email Compromise).

Ma come funzionano?

Immagina questa situazione.

In amministrazione arriva un’email in cui un tuo fornitore scrive per comunicarti che l’IBAN a cui di solito gli invii i bonifici bancari è cambiato.

Qual è la prima cosa che fai?

Se sei una persona scrupolosa controlli l’indirizzo email, ma ti accorgi che è lo stesso con cui sei in contatto di solito. Controlli l’ortografia: sembra buona.

A questo punto pensi di poter procedere tranquillamente con il cambio di IBAN e che non ci sia alcun pericolo informatico nascosto in quel messaggio.

Sbagliato.

Gli attacchi BEC utilizzano diversi tipi di strategie che mirano a impersonare un contatto di cui ti fidi. Utilizzando un mix di ricerche e tecniche di social engineering, i cyber criminali ti faranno credere di essere una persona con cui fai affari, un tuo fornitore, un dirigente d’azienda o addirittura un esponente delle forze dell’ordine che chiede informazioni personali su qualcuno, in modo da utilizzarle per attacchi BEC successivi.

 Gli hacker possono utilizzare indirizzi email che somigliano a quelli a te noti (cosiddetti lookalike domain), ma molto spesso sono degli indirizzi totalmente validi le cui credenziali sono state ottenute tramite email di phishing, attacchi brute force o acquistate sul dark web in seguito a data breach.

La caratteristica principale dei messaggi BEC è la totale assenza di malware o link pericolosi. Questo gli consente di oltrepassare facilmente tutti i sistemi di sicurezza tradizionali.

Esempi di truffe BEC

Ti riporto alcuni casi in cui viene utilizzato questo tipo di attacco.

  • Transazioni immobiliari: durante le transazioni per l’acquisto di immobili, i criminali potrebbero impersonare venditori, agenti immobiliari o studi legali per convincere con l’inganno chi acquista una casa a trasferire i soldi sul loro conto.
  • Furto di dati: i cyber criminali possono usare l’indirizzo email di un dirigente per richiedere documenti o informazioni personali al reparto risorse umane.
  • Supply chain: come ti dicevo prima, i criminali spesso si servono di attacchi BEC per inserirsi nelle trattative con i fornitori e reindirizzare i pagamenti sul proprio conto.
  • Studi legali: gli hacker possono anche assumere l’”identità” di un rappresentante di uno studio legale per ottenere informazioni su cause giudiziarie in corso o per avere accesso ad altri documenti e informazioni riservate.

Solo negli Stati Uniti a luglio 2018 si contavano già 41 mila casi di BEC e secondo i dati rilasciati dall’FBI il volume d’affari complessivo di questo tipo di attacchi tra ottobre 2013 e maggio 2018 è stato di 12,5 miliardi di dollari.

Ma anche in Italia sono sempre di più i casi in cui i truffatori sfruttano gli attacchi Business Email Compromise con successo. Pensa che di recente anche la società calcistica S.S. Lazio è stata vittima di una truffa da 2 milioni di euro.

Perché le minacce Business Email Compromise sono tanto pericolose?

Le truffe BEC sono progettati per bypassare i meccanismi di sicurezza come filtri antispam e antivirus e sono così pericolosi perché:

  • non contengono malware. Gli attacchi BEC normalmente non contengono alcun tipo di software dannoso, ma si servono di sofisticate tecniche di social engineering per truffare gli utenti.
  • Sono in grado di superare i filtri antispam. Spesso i messaggi BEC sono talmente ben fatti che è impossibile per un filtro antispam distinguerli da una qualunque email legittima.
  • Sono altamente personalizzati. I cyber criminali fanno approfondite ricerche sulla vittima prima di lanciare un attacco. Spesso analizzano siti web, social media o addirittura il dark web alla ricerca di informazioni specifiche sull’azienda vittima e sui suoi dirigenti. Essendo a conoscenza anche dello stile di scrittura di chi intendono “impersonare”, smascherare questi hacker diventa molto complicato.

Ma quindi cosa puoi fare per identificare questo tipo di truffe ed essere sicuro che il tuo interlocutore sia chi dice di essere?

Per prima cosa occorre conoscere come questi attacchi vengano perpetrati, così da non dare per scontato che un dominio email o qualche informazione di base attestino l’identità di un individuo.Inoltre, nel caso di cambi di IBAN o richieste di informazioni personali o delicate, è sempre buona norma fare degli ulteriori accertamenti, scrivendo a indirizzi email differenti o dando un colpo di telefono al nostro fornitore per avere conferma dell’IBAN sul quale eseguire il bonifico, ad esempio.

Se vuoi approfondire, ti consiglio il sito dell’Internet Crime Complaint Center (IC3), un ufficio del Federal Bureau of Investigation (meglio noto come FBI); in particolare questa pagina: https://www.ic3.gov/media/2018/180712.aspx