Il Business Email Compromise (BEC) è una truffa in grado di estorcere centinaia di migliaia di dollari ad aziende ed enti pubblici.
Ma com’è possibile che un semplice messaggio di posta elettronica possa rappresentare un potenziale danno incalcolabile per il bilancio aziendale?
E come tentare di arginare questa piaga che rappresenta circa il 44% di tutte le frodi informatiche a livello mondiale?
In questo articolo tenteremo di mettere in luce caratteristiche e modalità d’azione di un attacco BEC, cercando di fornire al contempo un’esaustiva panoramica su
- cause
- e potenziali rimedi.
Sommario degli argomenti
- Attacco BEC: i casi più ecltanti
- Attacco BEC: panoramica generale
- Fattore umano e BEC: le tecniche per raggirarci
- Protocollo STMP: le vulnerabilità della comunicazione via mail
- BEC & EAC: due facce di una stessa medaglia
- Tipologie di attacco BEC
- Best practice per prevenire un attacco BEC
- Conclusioni
- Onorato informatica
Quella degli attacchi BEC è una piaga che non prende di mira soltanto ingenui internauti sprovveduti, ma anche alti funzionari di banche, enti pubblici e privati, nonché aziende a qualsiasi livello di grandezza.
Insomma: il Business Email Compromise non risparmia nessuno, ed ha già mietuto le sue “vittime illustri”.
Tra i casi più eclatanti, non si può non menzionare i due che più di tutti hanno destato scalpore a livello nazionale.
Tra questi:
- il direttore della delegazione di Confindustria presso l’Unione Europea, che nel 2017 ha mandato in fumo circa mezzo milione di euro,
- o la società calcistica della Lazio che, durante la compravendita del calciatore De Vrij nel 2018, ha dirottato l’ultima tranche di pagamento su quello che credeva essere il nuovo conto della società Feyenoord (ex squadra olandese del giocatore). Le coordinate bancarie, si scoprì poi, facevano invece capo agli hacker Hushpuppi e Woodberry, arrestati a Dubai solo nel 2020.
La dinamica, in entrambi i casi, era sostanzialmente identica:
- un messaggio di posta elettronica, opportunamente mascherato affinché sembrasse appartenere a un contatto noto, indicava coordinate bancarie, diverse da quelle comunemente utilizzate, sulle quali veniva indicato di effettuare bonifici e pagamenti
- l’apparente autenticità del messaggio garantiva l’attendibilità dell’informazione e la conseguente sicurezza dell’operazione che si sarebbe andata a compiere
- una volta effettuata la transazione, il denaro risultava irrimediabilmente perduto
Solo a quel punto, quando ormai era già troppo tardi, ci si rendeva conto di essere stati vittima di una truffa via mail.
Secondo le ultime stime riportate nel rapporto CLUSIT 2021, nel solo 2020, gli attacchi di tipo Business Email Compromise sono costati alle aziende ben 1,8 miliardi di dollari, con un incremento percentuale nel 2019 del 100% rispetto all’anno precedente.
In soli sei anni, dal 2013 al 2018, gli attacchi BEC hanno fatto evaporare dalle casse di aziende di 177 Paesi distribuiti in tutto il mondo l’equivalente di 12,5 miliardi di dollari.
Ma perché l’attacco BEC, pur non utilizzando direttamente alcun tipo di malware, si dimostra così redditizio per i cybercriminali?.
Analizziamone nel dettaglio le motivazioni.
Il punto di forza di un attacco BEC sta nella pervasività dell’email, oggi diventato uno degli strumenti più utilizzati tanto a livello personale, quanto in ambito lavorativo.
La sua semplicità d’uso nasconde, però, anche vistose vulnerabilità per la privacy e la preservazione di dati sensibili, di cui gli utenti sono molto spesso all’oscuro.
I fattori-chiave del suo successo sono sostanzialmente due:
- il social engineering, che studia veri e propri stratagemmi psicologici attraverso cui indurre le persone a fornire informazioni personali o dati bancari;
- e lo spoofing, ovvero la falsificazione della propria identità online.
Di norma, infatti, l’hacker, impiegando queste tecniche, è facilmente in grado di mascherare la natura fraudolenta del messaggio inoltrato.
Nello specifico, ciò si traduce in messaggi di posta elettronica ingannevoli, le cui principali peculiarità sono:
- il rispecchiare in tutto e per tutto le caratteristiche delle mail ufficiali di enti, fornitori, profili dirigenziali o colleghi. In concreto l’hacker cura particolarmente l’aspetto grafico del suo contenuto – ovvero intestazioni, formato, ecc – in modo tale che le differenze con l’originale risultino pressoché irrilevanti
- l’utilizzo di lookalike domain, ovvero indirizzi di posta elettronica impercettibilmente diversi da quelli noti (ad esempio: [email protected] e [email protected])
- invito a compiere operazioni finanziarie verso conti bancari diversi da quelli comunemente utilizzati.
Ma veniamo alla radice del problema: il protocollo su cui si basano tutti i sistemi di posta elettronica.
L’STMP (Simple Mail Transfer Protocol) è infatti l’insieme di regole formali che consente il comune scambio delle e-mail.
Implementato all’inizio degli anni ‘80, l’STMP risulta tuttora in uso, sebbene il contesto di utilizzo sia notevolmente cambiato.
Poiché l’e-mail era stata concepita come strumento da utilizzarsi prettamente in ambito collaborativo, il protocollo di comunicazione su cui è stata basata non contempla le norme di sicurezza oggi indispensabili per preservarla dagli attacchi informatici.
Per avere un quadro esaustivo, possiamo semplificare il processo di trasferimento di un’e-mail considerando tre “attori” principali:
- i MUA (Mail User Agent), ovvero i client di posta elettronica (quali Gmail, Outlook, ecc.)
- mittente
- e destinatario
Quando il messaggio viene instradato, viene dapprincipio raccolto nel server facente capo al dominio del client utilizzato dal mittente. Questo server identifica e invia il contenuto al dominio del client del destinatario. E’ soltanto quest’ultimo, infine, a identificare e inoltrare il messaggio all’effettivo indirizzo riportato in fase d’invio.
Ciò che manca ad ogni passaggio (hop) di questo iter è la puntuale verifica che l’indirizzo IP del mittente corrisponda effettivamente all’intestazione riportata nella mail.
Nel contesto di un attacco BEC, o di un qualunque altro tentativo di truffa via posta elettronica, infatti, un pirata informatico ha a sua disposizione diverse strategie per aggirare questo meccanismo.
Ad esempio, attraverso semplici script in linguaggio Pyhton (o in simili linguaggi di scripting), l’hacker potrebbe facilmente modificare l’header della mail facendo sì che venga visualizzato un indirizzo diverso rispetto a quello del mittente effettivo.
La velocità di trasmissione e la capacità di portata del traffico di posta elettronica, dunque, vengono pagate al caro prezzo della tutela della sicurezza.
Come abbiamo visto, in un attacco BEC, nella maggior parte dei casi, non viene implicato direttamente alcun tipo di malware, ma si fa leva sulle imprevedibili vulnerabilità legate agli errori umani.
Spesso, però, prima di mettere a segno un Business Email Compromise vero e proprio, è necessario compiere azioni di information gatherig attraverso
- attacchi brute force
- phishing, in cui vengono inviate mail con link a siti contraffatti
- o ancora, keyloggers e stealers
- nonché riciclaggio delle credenziali
per penetrare nei flussi di conversazione d’interesse.
Questa tipologia di attacco, detta EAC (Email Account Compromise), nota anche come Man in the Mail o takeover degli account, permette all’hacker di
- penetrare nell’account della vittima
- profilarla
- rubarne i dati
- impostare regole di inoltro automatico, così da mantenere l’accesso anche in caso di cambio password
- e ovviamente, inviare e-mail spacciandosi per il legittimo proprietario dell’account
Insomma, in caso di EAC le vittime sono due:
- l’utente a cui è stato violato l’account
- e il destinatario dei messaggi fraudolenti
Nonostante la logica di fondo sia pressoché lineare, nel corso del tempo si sono differenziate diverse tipologie di attacco BEC.
Vediamone brevemente una carrellata.
Truffa del CEO
La CEO fraud, nota in Italia come truffa del CEO, è la declinazione di un attacco BEC per antonomasia: tant’è vero che spesso le due definizioni sono usate come intercambiabili.
In questo caso il cybercriminale richiede il denaro impersonando una figura dirigenziale, così da incutere una sorta di timore reverenziale nella vittima, spesso deputata proprio a quel genere di operazioni.
Comunemente, inoltre, per aumentare il senso di urgenza, viene sottolineata la confidenzialità della richiesta di denaro, sottolineando l’impossibilità ad essere ricontattati in quel preciso lasso temporale per via di altri impegni ufficiali.
Questa, in breve, la dinamica secondo cui si svolse la truffa al funzionario di Confindustria descritto in precedenza. La mail in questione, infatti, riportava testualmente:
“Caro G., dovresti eseguire un bonifico di mezzo milione di euro su questo conto corrente. Non mi chiamare perché sono in giro con il presidente e non posso parlare”. Mittente: M P.
Data theft
In questo caso, come mossa preliminare alla richiesta di bonifico, vengono presi di mira comparti che gestiscono dati sensibili e informazioni riservate, tra cui Risorse Umane e contabilità.
In tal modo il furto è duplice:
- da una parte i dati,
- dall’altra il denaro.
Frode della fattura
Fingendosi fornitori, gli hacker inoltrano false fatture di pagamento o dirottano su altri conti dei pagamenti legittimi.
Dirottamento degli stipendi
In questo scenario ribaltato rispetto alla CEO fraud, il pirata informatico si finge un dipendente e richiede una modifica degli estremi del proprio conto corrente al fine di dirottarne il pagamento degli stipendi futuri.
Ciò che fa del BEC una truffa tanto redditizia, quindi, è l’imprevedibilità dell’errore umano cui però si uniscono fattori concomitanti, quali:
- la già citata vulnerabilità del protocollo STMP
- la mancanza di malware, che rende le mail apparentemente innocue ad eventuali sistemi di rilevazione dello spam
Quali precauzioni adottare, dunque, per prevenire un attacco di tipo Business Email Compromise?
E-mail gateway
Il principale scopo di un e-mail gateway è quello di
- separare il server mail da internet
- garantire una protezione nei flussi di comunicazione
La sua attività, pertanto, si esplica con:
- isolamento del server da internet
- inserimento di filtri di controllo differenziati per il traffico in entrata e quello in uscita
- strategie di content filtering, con limitazioni sulla tipologia di allegati
- categorizzazione del tipo di messaggio, con particolare attenzione alla rilevazione degli spam
- gestione di un safelisting, ovvero una lista di contatti fidati
Adeguata formazione del personale
Essendo il principale bersaglio d’attacco, il fattore umano deve essere opportunamente addestrato a riconoscere eventuali segnali d’allarme, prestando attenzione:
- al contenuto esatto dell’intestazione, che ci fornirà preziose informazioni circa il server da cui è stato effettivamente inoltrato il messaggio
- al contenuto della mail stessa, che spesso presenta grossolani errori grammaticali
Bisognerebbe, dunque, diffidare da qualsiasi invito a compiere movimenti bancari che prescinda dai canali di trasmissione ufficiali, o quantomeno compere l’operazione soltanto se si è in grado di verificare l’attendibilità della richiesta attraverso altri canali (ad esempio telefonicamente o di persona).
DMARC e i protocolli di autenticazione
Il Domain-based Message Authentication, Reporting and Conformance (DMARC) è un sistema di autenticazione delle mail che rileva l’identità del mittente sfruttando altri due protocolli:
- SPF, che identifica gli host autorizzati a inoltrare messaggi da un determinato dominio
- DKIM, che, attraverso la crittografia asimmetrica, sfrutta il sistema di firma elettronica per un ulteriore livello di verifica
In ultima istanza non bisogna tralasciare la necessità di impostare questi controlli tanto sul traffico proveniente dall’esterno, quanto su quello interno. Come si è avuto modo di vedere, infatti, la gran parte delle frodi interessa comunicazioni che avvengono internamente all’azienda. Sarà pertanto necessario istituire forme di controllo della sicurezza anche sul traffico e sugli account della propria rete.
Abbiamo visto come il BEC sia una delle truffe informatiche più diffuse e redditizie degli ultimi tempi.
Proprio perché il suo bersaglio d’azione è essenzialmente l’errore umano si rende necessario salvaguardare l’integrità online di aziende e dipendenti fornendo a questi ultimi un’adeguata formazione per arginare efficacemente il fenomeno.
Come il cybercrimine si adegua ai tempi e affina sempre più le sue tecniche, così la formazione in materia di cybersecurity deve costituirne il primo baluardo di difesa.
La lotta al BEC, dunque, si gioca sul duplice fronte
- di soluzioni tecnologiche
- e opportuno training del personale.
Onorato Informatica è un’azienda specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Sono una studentessa magistrale in Informatica Umanistica.
Durante il percorso di studi triennale in Lettere e filosofia ho avuto l’opportunità di svolgere un anno di Servizio Civile Nazionale e un semestre di Erasmus per studio in Francia, nonché un breve periodo di Servizio Volontario Europeo in Croazia.
Attualmente, con un gruppo di altri cinque ragazzi, porto avanti un progetto che aiuta start-up e piccole realtà imprenditoriali a delineare i primi step per le loro strategie social.
