Business Process Compromise (BPC) in azienda: l’attacco informatico del futuro

Oggi parliamo di attacchi Business Process Compromise, una specifica tecnica di cyber attack che ha l’obiettivo di alterare senza destare sospetti intere parti di processi operativi specifici, o persino le funzionalità di alcuni dispositivi al fine di generare profitti monetari significativi per gli aggressori.

I criminali informatici potrebbero passare mesi o persino anni nascosti all’interno dell’infrastruttura aziendale: questa particolare minaccia viene definita attacco di compromissione dei processi aziendali (BPC).

Gli attaccanti che perpetrano gli attacchi BPC possono entrare in contatti con informazioni e processi cruciali senza dare nell’occhio.
Un attacco BPC (Business Process Compromise) è il metodo più diffuso utilizzato dagli hacker per fare accesso alle reti aziendali.

Questo tipo di frode utilizza tecniche di attacco di spoofing, dispositici di keylogging o tecniche phishing per raggiungere individui mirati: normalmente, le vittime lavorano nel dipartimento finanziario o sono i soggetti che gestiscono i pagamenti.

Proprio per la pericolosità che deriva dagli attacchi informatici BPC, le aziende necessitano di una protezione a tutto tondo che va ben oltre i controlli perimetrali al fine di rilevare attività sospette.
Di seguito parliamo nel dettaglio della dinamica di questa minaccia e delle dovute misure per contrastarla.

1. Una definizione introduttiva
2. Tipologie d’attacco BPC
3. Perché è l’attacco informatico del futuro?
4. Come prevenire gli attacchi BPC?

L’attacco BPC ha quasi sempre origine dalle vulnerabilità di sistema o dai difetti operativi nelle infrastrutture.
Questi elementi sono fondamentali per l’attaccante per poter accedere all’azienda bersaglio.

Una volta scoperta una vulnerabilità, l’attaccante in genere modificherà una sezione del processo a proprio vantaggio senza essere scoperto dall’azienda.
Le procedure sembrano funzionare correttamente, ma gli aggressori stanno già traendo profitto dall’attività.

Dopo essersi infiltrato in rete, l’attaccante osserva tutte le operazioni aziendali per ottenere un quadro chiaro della struttura dell’organizzazione, dei ruoli, delle comunicazioni.

Questo monitoraggio malevolo consente di acquisire familiarità con le procedure aziendali, individuando vulnerabilità che possono essere sfruttate.

Forti di queste informazioni, gli aggressori intercedono nei processi al fine di modificare e tratte vantaggi economici semplicemente rimanendo in ascolto dall’interno dell’organizzazione.

Gli attacchi Business Process Compromise stanno diventando sempre più comuni, anche se estremamente mirati e spesso, sono possibili poiché molti dipendenti si limitano a seguire i movimenti delle procedure aziendali, ponendo fiducia in politiche che hanno sempre funzionato e si aspettano che continuino a farlo.

Secondo le ricerche, il tempo di permanenza medio, ovvero il tempo necessario dall’infezione al rilevamento di una violazione, è di 146 giorni.
Ciò indica che la maggior parte delle aziende impiega più di cinque mesi per scoprire una compromissione. Ciò fornisce agli aggressori tutto il tempo per identificare i punti deboli ed escogitare strategie per trarne vantaggio.

Esistono diverse categorie di attacchi di Business Process Compromise proprio perché gli obiettivi degli attaccanti sono molteplici e coinvolgono più processi e funzionalità del reparto IT.

Gli attacchi di diversione

In questo caso, gli attaccanti prendono di mira le vulnerabilità di sicurezza nell’infrastruttura del flusso di cassa dell’organizzazione.
Gli attori delle minacce possono quindi trasferire denaro attraverso modi apparentemente legittimi.

La frode sulle buste paga è un esempio di questo tipo di BPC, in cui gli aggressori o gli insider malevoli con accesso al sistema delle buste paga possono aggiungere lavoratori fantasma e sfruttarli per drenare denaro. I criminali informatici si servono della presenza di vulnerabilità gravi di sicurezza per alterare codici o utilizzando malware per reindirizzare i pagamenti verso conti che possiedono e controllano.

Piggybacking (attacco a ‘cavalcioni’)

Questo tipo d’attacco BPC sfrutta procedure aziendali cruciali per la trasmissione del software dannoso e il transito di elementi illegali, il che si traduce in notevoli ricompense finanziarie per gli aggressori.

Attacco finanziario

Questa categoria d’attacco BPC include coloro che cercano d’influenzare i risultati finanziari e le scelte aziendali cruciali come le acquisizioni. Gli aggressori lo fanno includendo variabili dannose in un processo o sistema aziendale cruciale.

Ad esempio, il trading di azioni può essere manipolato utilizzando un sistema di trading o un software inteso a gonfiare artificialmente il valore delle azioni. Attraverso questa inaspettata instabilità del mercato, gli aggressori potrebbero guadagnare centinaia o addirittura milioni di dollari.

La compromissione di un processo aziendale mediante un attacco BPC si verifica quando il sistema di un’organizzazione ha un particolare processo che è stato alterato in modo improprio.

Le operazioni aziendali possono essere interrotte e perdite finanziarie significative potrebbero derivare dalla manipolazione dei processi aziendali. Comprendere la dinamica di un attacco BPC è fondamentale per lo sviluppo di una strategia di difesa per tutelare il sistema informatico, proprio come con altre minacce alla sicurezza informatica.

Ecco tre cose di cui tutte le aziende dovrebbero essere consapevoli:

• La compromissione dei processi aziendali avviene nel tempo.

  La riuscita dell’attacco richiede molto tempo di presenza nel sistema dell’azienda vittima. Gli aggressori hanno bisogno di tempo per studiare come funziona il sistema aziendale bersaglio e trovare processi deboli che potrebbero essere manipolati. Per questo motivo le aziende possono lavorare in prevenzione per rafforzare la sicurezza e rilevare attività anomale, che potrebbero indicare uno sforzo criminale per controllare un determinato processo aziendale.

• Gli attacchi mirati e la compromissione dei processi aziendali sono simili ma hanno scopi diversi.

  Gli attacchi mirati, come BPC, richiedono tempo per infiltrarsi e comprendere le vulnerabilità dell’ambiente bersaglio.
  D’altra parte, queste minacce sono spesso indirizzare ad attività di spionaggio e raccolta d’informazioni, o per scopo di lucro.

• L’attacco BPC è potenzialmente più redditizio di molte altre minacce informatiche.

  Sebbene un attacco BPC possa richiedere più tempo e abilità, può comunque essere più redditizio di altre minacce come il ransomware o l’intrusione di posta elettronica aziendale (BEC). Finora, la perdita media in un attacco BPC è stata di $ 140.000, mentre la compensazione media in un attacco ransomware è stata di $ 30.000.
  Addirittura, la frode della Bangladesh Bank ha generato danni per 81 milioni di dollari a causa di un attacco BPC.

Concludendo, le aziende in vari settori sono vulnerabili agli attacchi BPC.

Ogni azienda ha operazioni aziendali specifiche che richiedono soluzioni di sicurezza distinte e personalizzate.
Ecco alcune indicazioni e linee guida generali:

• Le organizzazioni dovrebbero avere un quadro completo della propria rete ed essere in grado di distinguere tra processi di routine e processi potenzialmente dannosi. Dunque, è doverosa un’analisi di rischio cibernetico e una valutazione delle vulnerabilità di sistema con fornitori terzi e clienti.

• Le tecnologie per la sicurezza della rete come la prevenzione delle intrusioni e il monitoraggio del comportamento delle componenti in un sistema sono soluzioni indispensabili. Oltre a ciò, le aziende dovrebbero utilizzare dati comparabili provenienti da pratiche e procedure di altri settori o da fonti accessibili al pubblico per fungere da indicatori aggiuntivi di potenziali risultati e aspettative.

• Le aziende dovrebbero verificare regolarmente le policy di sicurezza, esaminando gli input previsti e imprevisti applicati ai vari processi e verificando se i risultati complessivi sono quelli previsti.

• Inoltre, è fondamentale aumentare la consapevolezza all’interno dell’azienda e insegnare al personale come distinguere tra condotta normale e deviante. È importante formare il personale interno su come riconoscere le comunicazioni fraudolente e promuovere il sano sospetto nei confronti delle richieste transazionali insolite. Le aziende dovrebbero avere solide politiche d’iniziativa educativa sulle tattiche dell’ingegneria sociale.