c Giacomo Lanzi

Business email compromise (BEC) schemes

Estimated reading time: 7 minutes

Negli anni, i truffatori hanno rubato milioni di dollari alle imprese compromettendo i loro account di posta ufficiali utilizzandoli per richiedere bonifici fraudolenti. Tecnicamente questi schemi, che sono a tutti gli effetti delle truffe, si chiamano Business Email Compromise.

C’è stato un aumento delle intrusioni informatiche legate agli schemi di Business Email Compromise, che coinvolgono truffatori che si spacciano per dirigenti. Il contatto avviene inviando e-mail di phishing da fonti apparentemente legittime e vengono poi richiesti bonifici a conti fraudolenti. Questi metodi alla fine portano all’intrusione e all’accesso illimitato alle credenziali delle loro vittime.

Cosa si intende per Business Email Compromise?

L’FBI definisce il Business Email Compromise (BEC) come una truffa sofisticata che prende di mira le aziende che lavorano con fornitori stranieri e le aziende che eseguono regolarmente pagamenti tramite bonifico bancario. Precedentemente noti come truffe Man-in-the-Email, questi schemi compromettono gli account email ufficiali delle aziende per condurre trasferimenti di fondi non autorizzati.

Secondo l’FBI, le vittime hanno perso più 750 milioni di dollari e hanno colpito più di 7.000 persone tra ottobre 2013 e agosto 2015. A livello globale, i criminali informatici hanno truffato più di 50 milioni di dollari da vittime in paesi non americani.

Business email compromise email received

Come funziona?

Le truffe BEC spesso iniziano con un aggressore che compromette l’account di posta elettronica di un dirigente d’azienda o una qualsiasi email aziendale elencata pubblicamente. Solitamente questo avviene usando un keylogger o dei metodi di phishing, in cui gli aggressori creano un dominio che è simile a quello aziendale che stanno prendendo di mira. In altri casi, un’email falsificata che inganna il bersaglio a fornire i dettagli dell’account è sufficiente.

Dopo aver monitorato l’account e-mail compromesso, il truffatore cercherà di determinare chi avvia i bonifici e chi li richiede. I truffatori spesso eseguono una discreta quantità di ricerche, cercando una società che ha avuto un cambio di leadership nella dirigenza della funzione finanziaria, in cui i dirigenti sono in viaggio, o conducono conference call per gli investitori. Gli aggressori usano queste come opportunità per eseguire lo schema.

A questo punto, l’attacco si può svolgere in vari modi.

Versione 1: La fattura fasulla

Questa versione, che è stata anche chiamata “The Bogus Invoice Scheme“, “The Supplier Swindle“, e “Invoice Modification Scheme“, di solito coinvolge un’azienda che ha un rapporto stabile con un fornitore. Il truffatore chiede di trasferire i fondi per il pagamento della fattura su un conto alternativo e fraudolento tramite e-mail, telefono o fax.

Versione 2: Frode del CEO

In questa versione, i truffatori si identificano come dirigenti di alto livello (CFO, CEO, CTO, ecc.), avvocati o altri tipi di rappresentanti legali e pretendono di gestire questioni riservate o urgenti e richiedono di effettuare un bonifico bancario su un conto che controllano. In alcuni casi, la richiesta fraudolenta di bonifico è inviata direttamente all’istituto finanziario con le istruzioni di inviare urgentemente i fondi a un altro istituto. Questa truffa è anche conosciuta come “CEO Fraud“, “Business Executive Scam“, “Masquerading“, e “Financial Industry Wire Frauds“.

Versione 3: Compromissione dell’account

Simile alle altre due versioni, un account di posta elettronica di un dipendente viene violato e poi usato per fare richieste di pagamento di fatture a conti bancari controllati dai truffatori. I messaggi sono inviati a più fornitori identificati dalla lista dei contatti del dipendente. L’azienda potrebbe non rendersi conto dello schema fino a quando i loro fornitori non eseguono controlli sullo stato del pagamento della fattura.

Versione 4: Il finto avvocato

In questa versione, il cyber criminale contatta i dipendenti e/o l’amministratore delegato dell’azienda e si identifica come avvocato o rappresentante di uno studio legale, sostenendo di gestire questioni riservate e urgenti. Questo contatto, tipicamente fatto via telefono o e-mail, spinge la parte contattata ad agire rapidamente o segretamente nella gestione del trasferimento di fondi.

Questo tipo di schema di Business Email Compromise può essere programmato per verificarsi alla fine della giornata o della settimana lavorativa, quando i dipendenti si preparano a chiudere e quindi sono particolarmente sensibili a una situazione di emergenza.

Versione 5: Il furto di dati

Questo schema coinvolge email di dipendenti con ruoli specifici nell’azienda utilizzati per inviare richieste. Questa volta, però, le richieste non sono per trasferimenti di fondi ma per informazioni personali identificabili di altri dipendenti e dirigenti. Questa variante può quindi servire come punto di partenza per attacchi BEC più elaborati e dannosi contro l’azienda.

La truffa si basa principalmente sull’ingegneria sociale e in genere non ha bisogno di una sofisticata penetrazione del sistema. A differenza delle truffe di phishing, le e-mail utilizzate nelle truffe BEC non sono inviate in massa per evitare di essere segnalate come spam. Le vittime sono indotte con l’inganno a fare i trasferimenti, di solito istruite ad agire rapidamente e in modo confidenziale durante il trasferimento dei fondi.

Business email compromise phishing

Alcuni casi noti

Nel marzo 2016, un numero crescente di società e imprese hanno subito danni da schemi di BEC. Aziende come Seagate e Snapchat sono state tra le imprese vittime di truffe via email che utilizzano lo stesso modus operandi. Alla fine dello stesso mese, la Pivotal Software, società con sede a San Francisco, è stata violata attraverso uno schema di phishing che ha fatto trapelare un numero imprecisato di informazioni fiscali dei dipendenti.

La violazione è stata avviata da una e-mail che sembrava provenire dal CEO della società Rob Mee, che richiedeva informazioni sul personale della società. Questo ha portato alla consegna delle informazioni W-2 dei dipendenti. Queste informazioni includevano indirizzi, dettagli sul reddito dell’anno precedente, numeri di previdenza sociale e di identificazione del contribuente individuale. Il destinatario dei dati, neanche a dirlo, non era autorizzato a richiedere o ricevere dati di questa natura.

Non molto tempo dopo questo incidente, schemi simili sono stati utilizzati per ottenere informazioni personali nel settore dell’istruzione. Sono trapelate informazioni W-2 di 3.000 dipendenti del Tidewater Community College, in Virginia. L’evento è stato scatenato da un messaggio di richiesta dal preside della Kentucky State University, ricevuto da uno dei membri del personale della scuola. La richiesta ha spinto il personale a trasmettere una lista di dipendenti e studenti insieme alle informazioni W-2.

Le truffe che coinvolgono il furto di informazioni personali tramite e-mail di phishing hanno dimostrato di essere una fonte di dati inesauribile. I dati rubati potrebbero essere venduti ed essere utilizzati anche per mettere in scena futuri attacchi o furti di identità. Come si è visto nelle recenti e precedenti truffe fiscali, le truffe via e-mail sono diventate uno dei metodi più veloci per ingannare gli utenti inconsapevoli.

Business email compromise

Come difendersi?

Il consiglio è sempre il solito: rimanere vigili ed educare i dipendenti su come evitare di essere vittime di truffe BEC e altri attacchi di phishing.

È importante sapere che i criminali informatici non si preoccupano delle dimensioni della vostra azienda. Anzi, solitamente, più vittime ci sono, meglio è. Questo tipo di truffatori non hanno bisogno di essere altamente tecnici in quanto possono trovare strumenti e servizi che soddisfano tutti i livelli di competenza tecnica nel deep web. Dato che il mondo si affida sempre più a servizi in cloud e in generale collegati tra loro, un singolo account compromesso è tutto ciò che può servire per ottenere ingenti quantità di denaro o dati da un’azienda.

Alcuni suggerimenti

  • Esaminare attentamente tutte le e-mail. Diffida delle e-mail inviate dai dirigenti aziendali, in quanto sono spesso utilizzate per ingannare i dipendenti ad agire con urgenza. Esaminare le e-mail che richiedono il trasferimento di fondi per determinare se le richieste sono irregolari.
  • Educare e formare i dipendenti. Mentre i dipendenti sono la più grande risorsa di un’azienda, di solito sono anche l’anello più debole quando si tratta di sicurezza. Impegnatevi a formare i dipendenti secondo le migliori pratiche dell’azienda. Ricorda loro che aderire alle politiche aziendali è una cosa, ma sviluppare buone abitudini di sicurezza è un’altra. Per questo offriamo un servizio di phishing etico orientato proprio all’educazione contro gli schemi Business Email Compromise e il phishing in generale.
  • Rimanete aggiornati sulle abitudini dei clienti, compresi i dettagli e le ragioni dei pagamenti.
  • Se sospetti di essere stato vittima di un’e-mail BEC, segnala immediatamente l’incidente alle forze dell’ordine. Inoltre, allerta la tua azienda così che possa alzare la guardia e stringere i controlli.

SOD può aiutarti a formare i tuoi dipendenti. Scopri come contattandoci, saremo lieti di rispondere a ogni dubbio.

Useful links:

Share


RSS

More Articles…

Categories …

Tags

RSS Unknown Feed

RSS Full Disclosure

  • Defense in depth -- the Microsoft way (part 89): user group policies don't deserve tamper protection June 3, 2025
    Posted by Stefan Kanthak on Jun 03Hi @ll, user group policies are stored in DACL-protected registry keys [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies] respectively [HKEY_CURRENT_USER\Software\Policies] and below, where only the SYSTEM account and members of the "Administrators" user group are granted write access. At logon the user's registry hive "%USERPROFILE%\ntuser.dat" is loaded with exclusive (read, write and...
  • CVE-2025-45542: Time-Based Blind SQL Injection in CloudClassroom PHP Project v1.0 June 3, 2025
    Posted by Sanjay Singh on Jun 03Hello Full Disclosure list, I am sharing details of a newly assigned CVE affecting an open-source educational software project: ------------------------------------------------------------------------ CVE-2025-45542: Time-Based Blind SQL Injection in CloudClassroom PHP Project v1.0 ------------------------------------------------------------------------ Product: CloudClassroom PHP Project Vendor:...
  • ERPNext v15.53.1 Stored XSS in bio Field Allows Arbitrary Script Execution in Profile Page June 3, 2025
    Posted by Ron E on Jun 03An authenticated attacker can inject JavaScript into the bio field of their user profile. When the profile is viewed by another user, the injected script executes. *Proof of Concept:* POST /api/method/frappe.desk.page.user_profile.user_profile.update_profile_info HTTP/2 Host: --host-- profile_info={"bio":"\">"}
  • ERPNext v15.53.1 Stored XSS in user_image Field Allows Script Execution via Injected Image Path June 3, 2025
    Posted by Ron E on Jun 03An authenticated user can inject malicious JavaScript into the user_image field of the profile page using an XSS payload within the file path or HTML context. This field is rendered without sufficient sanitization, allowing stored script execution in the context of other authenticated users. *Proof of Concept:*POST /api/method/frappe.desk.page.user_profile.user_profile.update_profile_info HTTP/2 […]
  • Local information disclosure in apport and systemd-coredump June 3, 2025
    Posted by Qualys Security Advisory via Fulldisclosure on Jun 03Qualys Security Advisory Local information disclosure in apport and systemd-coredump (CVE-2025-5054 and CVE-2025-4598) ======================================================================== Contents ======================================================================== Summary Mitigation Local information disclosure in apport (CVE-2025-5054) - Background - Analysis - Proof of concept Local information disclosure in systemd-coredump...
  • Stored XSS via File Upload - adaptcmsv3.0.3 June 3, 2025
    Posted by Andrey Stoykov on Jun 03# Exploit Title: Stored XSS via File Upload - adaptcmsv3.0.3 # Date: 06/2025 # Exploit Author: Andrey Stoykov # Version: 3.0.3 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/ Stored XSS via File Upload #1: Steps to Reproduce: 1. Login with low privilege user and visit "Profile" > "Edit […]
  • IDOR "Change Password" Functionality - adaptcmsv3.0.3 June 3, 2025
    Posted by Andrey Stoykov on Jun 03# Exploit Title: IDOR "Change Password" Functionality - adaptcmsv3.0.3 # Date: 06/2025 # Exploit Author: Andrey Stoykov # Version: 3.0.3 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/ IDOR "Change Password" Functionality #1: Steps to Reproduce: 1. Login as user with low privilege and visit profile page 2. Select […]
  • Stored XSS "Send Message" Functionality - adaptcmsv3.0.3 June 3, 2025
    Posted by Andrey Stoykov on Jun 03# Exploit Title: Stored XSS "Send Message" Functionality - adaptcmsv3.0.3 # Date: 06/2025 # Exploit Author: Andrey Stoykov # Version: 3.0.3 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/ Stored XSS "Send Message" Functionality #1: Steps to Reproduce: 1. Login as normal user and visit "Profile" > "Message" > […]
  • Authenticated File Upload to RCE - adaptcmsv3.0.3 June 3, 2025
    Posted by Andrey Stoykov on Jun 03# Exploit Title: Authenticated File Upload to RCE - adaptcmsv3.0.3 # Date: 06/2025 # Exploit Author: Andrey Stoykov # Version: 3.0.3 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/ Authenticated File Upload to RCE #1: Steps to Reproduce: 1. Login as admin user and visit "System" > "Appearance" > […]
  • Stored XSS in "Description" Functionality - cubecartv6.5.9 June 3, 2025
    Posted by Andrey Stoykov on Jun 03# Exploit Title: Stored XSS in "Description" Functionality - cubecartv6.5.9 # Date: 05/2025 # Exploit Author: Andrey Stoykov # Version: 6.5.9 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/ Stored XSS #1: Steps to Reproduce: 1. Visit "Account" > "Address Book" and choose "Edit" 2. In the "Description" parameter […]

Customers

Newsletter

{subscription_form_1}