Business email compromise email received Giacomo Lanzi

Schemi di business email compromise (BEC)

Estimated reading time: 7 minuti

Negli anni, i truffatori hanno rubato milioni di dollari alle imprese compromettendo i loro account di posta ufficiali utilizzandoli per richiedere bonifici fraudolenti. Tecnicamente questi schemi, che sono a tutti gli effetti delle truffe, si chiamano Business Email Compromise.

C’è stato un aumento delle intrusioni informatiche legate agli schemi di Business Email Compromise, che coinvolgono truffatori che si spacciano per dirigenti. Il contatto avviene inviando e-mail di phishing da fonti apparentemente legittime e vengono poi richiesti bonifici a conti fraudolenti. Questi metodi alla fine portano all’intrusione e all’accesso illimitato alle credenziali delle loro vittime.

Cosa si intende per Business Email Compromise?

L’FBI definisce il Business Email Compromise (BEC) come una truffa sofisticata che prende di mira le aziende che lavorano con fornitori stranieri e le aziende che eseguono regolarmente pagamenti tramite bonifico bancario. Precedentemente noti come truffe Man-in-the-Email, questi schemi compromettono gli account email ufficiali delle aziende per condurre trasferimenti di fondi non autorizzati.

Secondo l’FBI, le vittime hanno perso più 750 milioni di dollari e hanno colpito più di 7.000 persone tra ottobre 2013 e agosto 2015. A livello globale, i criminali informatici hanno truffato più di 50 milioni di dollari da vittime in paesi non americani.

Business email compromise email received

Come funziona?

Le truffe BEC spesso iniziano con un aggressore che compromette l’account di posta elettronica di un dirigente d’azienda o una qualsiasi email aziendale elencata pubblicamente. Solitamente questo avviene usando un keylogger o dei metodi di phishing, in cui gli aggressori creano un dominio che è simile a quello aziendale che stanno prendendo di mira. In altri casi, un’email falsificata che inganna il bersaglio a fornire i dettagli dell’account è sufficiente.

Dopo aver monitorato l’account e-mail compromesso, il truffatore cercherà di determinare chi avvia i bonifici e chi li richiede. I truffatori spesso eseguono una discreta quantità di ricerche, cercando una società che ha avuto un cambio di leadership nella dirigenza della funzione finanziaria, in cui i dirigenti sono in viaggio, o conducono conference call per gli investitori. Gli aggressori usano queste come opportunità per eseguire lo schema.

A questo punto, l’attacco si può svolgere in vari modi.

Versione 1: La fattura fasulla

Questa versione, che è stata anche chiamata “The Bogus Invoice Scheme“, “The Supplier Swindle“, e “Invoice Modification Scheme“, di solito coinvolge un’azienda che ha un rapporto stabile con un fornitore. Il truffatore chiede di trasferire i fondi per il pagamento della fattura su un conto alternativo e fraudolento tramite e-mail, telefono o fax.

Versione 2: Frode del CEO

In questa versione, i truffatori si identificano come dirigenti di alto livello (CFO, CEO, CTO, ecc.), avvocati o altri tipi di rappresentanti legali e pretendono di gestire questioni riservate o urgenti e richiedono di effettuare un bonifico bancario su un conto che controllano. In alcuni casi, la richiesta fraudolenta di bonifico è inviata direttamente all’istituto finanziario con le istruzioni di inviare urgentemente i fondi a un altro istituto. Questa truffa è anche conosciuta come “CEO Fraud“, “Business Executive Scam“, “Masquerading“, e “Financial Industry Wire Frauds“.

Versione 3: Compromissione dell’account

Simile alle altre due versioni, un account di posta elettronica di un dipendente viene violato e poi usato per fare richieste di pagamento di fatture a conti bancari controllati dai truffatori. I messaggi sono inviati a più fornitori identificati dalla lista dei contatti del dipendente. L’azienda potrebbe non rendersi conto dello schema fino a quando i loro fornitori non eseguono controlli sullo stato del pagamento della fattura.

Versione 4: Il finto avvocato

In questa versione, il cyber criminale contatta i dipendenti e/o l’amministratore delegato dell’azienda e si identifica come avvocato o rappresentante di uno studio legale, sostenendo di gestire questioni riservate e urgenti. Questo contatto, tipicamente fatto via telefono o e-mail, spinge la parte contattata ad agire rapidamente o segretamente nella gestione del trasferimento di fondi.

Questo tipo di schema di Business Email Compromise può essere programmato per verificarsi alla fine della giornata o della settimana lavorativa, quando i dipendenti si preparano a chiudere e quindi sono particolarmente sensibili a una situazione di emergenza.

Versione 5: Il furto di dati

Questo schema coinvolge email di dipendenti con ruoli specifici nell’azienda utilizzati per inviare richieste. Questa volta, però, le richieste non sono per trasferimenti di fondi ma per informazioni personali identificabili di altri dipendenti e dirigenti. Questa variante può quindi servire come punto di partenza per attacchi BEC più elaborati e dannosi contro l’azienda.

La truffa si basa principalmente sull’ingegneria sociale e in genere non ha bisogno di una sofisticata penetrazione del sistema. A differenza delle truffe di phishing, le e-mail utilizzate nelle truffe BEC non sono inviate in massa per evitare di essere segnalate come spam. Le vittime sono indotte con l’inganno a fare i trasferimenti, di solito istruite ad agire rapidamente e in modo confidenziale durante il trasferimento dei fondi.

Business email compromise phishing

Alcuni casi noti

Nel marzo 2016, un numero crescente di società e imprese hanno subito danni da schemi di BEC. Aziende come Seagate e Snapchat sono state tra le imprese vittime di truffe via email che utilizzano lo stesso modus operandi. Alla fine dello stesso mese, la Pivotal Software, società con sede a San Francisco, è stata violata attraverso uno schema di phishing che ha fatto trapelare un numero imprecisato di informazioni fiscali dei dipendenti.

La violazione è stata avviata da una e-mail che sembrava provenire dal CEO della società Rob Mee, che richiedeva informazioni sul personale della società. Questo ha portato alla consegna delle informazioni W-2 dei dipendenti. Queste informazioni includevano indirizzi, dettagli sul reddito dell’anno precedente, numeri di previdenza sociale e di identificazione del contribuente individuale. Il destinatario dei dati, neanche a dirlo, non era autorizzato a richiedere o ricevere dati di questa natura.

Non molto tempo dopo questo incidente, schemi simili sono stati utilizzati per ottenere informazioni personali nel settore dell’istruzione. Sono trapelate informazioni W-2 di 3.000 dipendenti del Tidewater Community College, in Virginia. L’evento è stato scatenato da un messaggio di richiesta dal preside della Kentucky State University, ricevuto da uno dei membri del personale della scuola. La richiesta ha spinto il personale a trasmettere una lista di dipendenti e studenti insieme alle informazioni W-2.

Le truffe che coinvolgono il furto di informazioni personali tramite e-mail di phishing hanno dimostrato di essere una fonte di dati inesauribile. I dati rubati potrebbero essere venduti ed essere utilizzati anche per mettere in scena futuri attacchi o furti di identità. Come si è visto nelle recenti e precedenti truffe fiscali, le truffe via e-mail sono diventate uno dei metodi più veloci per ingannare gli utenti inconsapevoli.

Business email compromise

Come difendersi?

Il consiglio è sempre il solito: rimanere vigili ed educare i dipendenti su come evitare di essere vittime di truffe BEC e altri attacchi di phishing.

È importante sapere che i criminali informatici non si preoccupano delle dimensioni della vostra azienda. Anzi, solitamente, più vittime ci sono, meglio è. Questo tipo di truffatori non hanno bisogno di essere altamente tecnici in quanto possono trovare strumenti e servizi che soddisfano tutti i livelli di competenza tecnica nel deep web. Dato che il mondo si affida sempre più a servizi in cloud e in generale collegati tra loro, un singolo account compromesso è tutto ciò che può servire per ottenere ingenti quantità di denaro o dati da un’azienda.

Alcuni suggerimenti

  • Esaminare attentamente tutte le e-mail. Diffida delle e-mail inviate dai dirigenti aziendali, in quanto sono spesso utilizzate per ingannare i dipendenti ad agire con urgenza. Esaminare le e-mail che richiedono il trasferimento di fondi per determinare se le richieste sono irregolari.
  • Educare e formare i dipendenti. Mentre i dipendenti sono la più grande risorsa di un’azienda, di solito sono anche l’anello più debole quando si tratta di sicurezza. Impegnatevi a formare i dipendenti secondo le migliori pratiche dell’azienda. Ricorda loro che aderire alle politiche aziendali è una cosa, ma sviluppare buone abitudini di sicurezza è un’altra. Per questo offriamo un servizio di phishing etico orientato proprio all’educazione contro gli schemi Business Email Compromise e il phishing in generale.
  • Rimanete aggiornati sulle abitudini dei clienti, compresi i dettagli e le ragioni dei pagamenti.
  • Se sospetti di essere stato vittima di un’e-mail BEC, segnala immediatamente l’incidente alle forze dell’ordine. Inoltre, allerta la tua azienda così che possa alzare la guardia e stringere i controlli.

SOD può aiutarti a formare i tuoi dipendenti. Scopri come contattandoci, saremo lieti di rispondere a ogni dubbio.

Contattaci

Useful links:

Condividi


RSS

RSS feed

Piu’ articoli…

Categorie …

Tags

Acronis Acronis Active Protection Acronis backup Acronis Cloud Backup Acronis Cyber Cloud BaaS Backup Backup as a Service Cloud Conference cloud server cyber security cyber threat Cyber Threat Hunter Dati aziendali EDR GDPR Machine Learning Monitoraggio infrastruttura ICT Next Generation SIEM nextgen siem Nuovo Regolamento Europeo Privacy owncloud pentest Phishing Plesk privacy Ransomware Regolamento Europeo per la Protezione dei Dati server virtuale servizi cloud sicurezza sicurezza web siem Smart Working SOAR SOCaaS SOCaaS[EDR] template Threat intelligence UEBA VDS Virtual Machine vps vulnerability assessment Zabbix

RSS Feed sconosciuto

RSS Feed sconosciuto

RSS Full Disclosure

  • [IWCC 2025] CfP: 14th International Workshop on Cyber Crime - Ghent, Belgium, Aug 11-14, 2025 Aprile 27, 2025
    Posted by Artur Janicki via Fulldisclosure on Apr 26[APOLOGIES FOR CROSS-POSTING] CALL FOR PAPERS 14th International Workshop on Cyber Crime (IWCC 2025 - https://2025.ares-conference.eu/program/iwcc/) to be held in conjunction with the 20th International Conference on Availability, Reliability and Security (ARES 2025 - http://2025.ares-conference.eu) August 11-14, 2025, Ghent, Belgium IMPORTANT DATES Submission Deadline May 12, 2025 […]
  • Inedo ProGet Insecure Reflection and CSRF Vulnerabilities Aprile 27, 2025
    Posted by Daniel Owens via Fulldisclosure on Apr 26Inedo ProGet 2024.22 and below are vulnerable to unauthenticated denial of service and information disclosure attacks (among other things) because the information system directly exposes the C# reflection used during the request-action mapping process and fails to properly protect certain pathways. These are amplified by cross-site request […]
  • Ruby on Rails Cross-Site Request Forgery Aprile 27, 2025
    Posted by Daniel Owens via Fulldisclosure on Apr 26Good morning. All current versions and all versions since the 2022/2023 "fix" to the Rails cross-site request forgery (CSRF) protections continue to be vulnerable to the same attacks as the 2022 implementation. Currently, Rails generates "authenticity tokens" and "csrf tokens" using a random "one time pad" (OTP). […]
  • Microsoft ".library-ms" File / NTLM Information Disclosure (Resurrected 2025) Aprile 27, 2025
    Posted by hyp3rlinx on Apr 26[-] Microsoft ".library-ms" File / NTLM Information Disclosure Spoofing (Resurrected 2025) / CVE-2025-24054 [+] John Page (aka hyp3rlinx) [+] x.com/hyp3rlinx [+] ISR: ApparitionSec Back in 2018, I reported a ".library-ms" File NTLM information disclosure vulnerability to MSRC and was told "it was not severe enough", that being said I post […]
  • HNS-2025-10 - HN Security Advisory - Local privilege escalation in Zyxel uOS Aprile 24, 2025
    Posted by Marco Ivaldi on Apr 23Hi, Please find attached a security advisory that describes some vulnerabilities we discovered in the Zyxel uOS Linux-based operating system. * Title: Local privilege escalation via Zyxel fermion-wrapper * Product: USG FLEX H Series * OS: Zyxel uOS V1.31 (and potentially earlier versions) * Author: Marco Ivaldi * Date: […]
  • APPLE-SA-04-16-2025-4 visionOS 2.4.1 Aprile 24, 2025
    Posted by Apple Product Security via Fulldisclosure on Apr 23APPLE-SA-04-16-2025-4 visionOS 2.4.1 visionOS 2.4.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/122402. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. CoreAudio Available for: Apple Vision Pro Impact: Processing an audio stream […]
  • APPLE-SA-04-16-2025-3 tvOS 18.4.1 Aprile 24, 2025
    Posted by Apple Product Security via Fulldisclosure on Apr 23APPLE-SA-04-16-2025-3 tvOS 18.4.1 tvOS 18.4.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/122401. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. CoreAudio Available for: Apple TV HD and Apple TV 4K (all […]
  • APPLE-SA-04-16-2025-2 macOS Sequoia 15.4.1 Aprile 24, 2025
    Posted by Apple Product Security via Fulldisclosure on Apr 23APPLE-SA-04-16-2025-2 macOS Sequoia 15.4.1 macOS Sequoia 15.4.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/122400. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. CoreAudio Available for: macOS Sequoia Impact: Processing an audio […]
  • APPLE-SA-04-16-2025-1 iOS 18.4.1 and iPadOS 18.4.1 Aprile 24, 2025
    Posted by Apple Product Security via Fulldisclosure on Apr 23APPLE-SA-04-16-2025-1 iOS 18.4.1 and iPadOS 18.4.1 iOS 18.4.1 and iPadOS 18.4.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/122282. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. CoreAudio Available for: iPhone XS […]
  • Business Logic Flaw: Price Manipulation - AlegroCartv1.2.9 Aprile 24, 2025
    Posted by Andrey Stoykov on Apr 23# Exploit Title: Business Logic Flaw: Price Manipulation - alegrocartv1.2.9 # Date: 04/2025 # Exploit Author: Andrey Stoykov # Version: 1.2.9 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/ Business Logic Flaw: Price Manipulation #1: Steps to Reproduce: 1. Visit the store and add a product 2. Intercept the […]

Customers

Newsletter

{subscription_form_2}
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
Recensioni Google
Secure Online Desktop s.r.l.
4.9
Basato su 37 recensioni
powered by Google
votaci su
Omid Fazeli
06:59 20 Apr 18
They have a lot of solutions for any kind of business. Lower prices than many others. The support service is always active and efficient.
Guarda tutte le recensioni
Facebook
Secure Online Desktop s.r.l.
Secure Online Desktop s.r.l.
5.0
Basato su 12 recensioni
powered by Facebook
votaci su
Paolo Raimondi
Paolo Raimondi
11:06 21 Apr 18
La Polimatica Progetti Srl, azienda di... cui sono titolare, collabora con soddisfazione da alcuni anni con Secure Online Desktop. L'Azienda è costituita da professionisti seri e competenti. Insieme a loro abbiamo costruito un sistema organizzato di soluzioni ICT, servizi e attività di consulenza per la compliance alla normativa in materia di protezione dei dati personali (GDPR).leggi di più
Ilaria Miglietta
Ilaria Miglietta
04:16 21 Apr 18
Servizi affidabili e di semplice... utilizzo. I loro tecnici molto attenti alle esigenze del cliente, continuate cosìleggi di più
Francesca Marastoni
Francesca Marastoni
11:41 20 Apr 18
Excellent service company with... wonderful stuff. Highly recommended.

Ottima azienda, servizi molto utili, staff qualificato e competente. Raccomandata!leggi di più
Alessio Liga
Alessio Liga
08:25 20 Apr 18
Servizi di alto livello, competenti e... disponibili a accettare nuove sfide per sviluppare business
Ottimo supportoleggi di più
Matteo Revelli
Matteo Revelli
22:39 19 Apr 18
Ottima azienda, offre servizi di alta... qualità con personale competente e disponibile.leggi di più
Lorenzo Munari
Lorenzo Munari
16:25 19 Apr 18
Azienda molto seria e... affidabile.

E' un piacere poter collaborare con realtà di questo tipoleggi di più
Francisco Amadi
Francisco Amadi
10:41 19 Apr 18
Ho avuto il piacere di collaborare con... loro e spero vivamente che succeda di nuovo. Competenti, professionali, precisi e cordiali!leggi di più
Davide Michelotto
Davide Michelotto
07:42 19 Apr 18
Ottimo servizio, seri professionisti al... timone della società e celerità nei tempi di risposta, oltre ogni aspettativa.leggi di più
Gabriele Petralia
Gabriele Petralia
12:28 18 Apr 18
Luca Prati
Luca Prati
10:12 18 Apr 18
Azienda eccellente, consulenza... customizzata e puntuale.
Un ottimo fornitore.
Io personalmente ho parlato con l' Ing. Venuti, valore aggiunto indubbiamente.leggi di più
Valerio Lezza
Valerio Lezza
21:35 17 Apr 18
Daniela Cospito Di Leo
Daniela Cospito Di Leo
21:20 17 Apr 18
Altre recensioni
js_loader
payments gateway
Contatti