Business email compromise email received Giacomo Lanzi

Schemi di business email compromise (BEC)

Estimated reading time: 7 minuti

Negli anni, i truffatori hanno rubato milioni di dollari alle imprese compromettendo i loro account di posta ufficiali utilizzandoli per richiedere bonifici fraudolenti. Tecnicamente questi schemi, che sono a tutti gli effetti delle truffe, si chiamano Business Email Compromise.

C’è stato un aumento delle intrusioni informatiche legate agli schemi di Business Email Compromise, che coinvolgono truffatori che si spacciano per dirigenti. Il contatto avviene inviando e-mail di phishing da fonti apparentemente legittime e vengono poi richiesti bonifici a conti fraudolenti. Questi metodi alla fine portano all’intrusione e all’accesso illimitato alle credenziali delle loro vittime.

Cosa si intende per Business Email Compromise?

L’FBI definisce il Business Email Compromise (BEC) come una truffa sofisticata che prende di mira le aziende che lavorano con fornitori stranieri e le aziende che eseguono regolarmente pagamenti tramite bonifico bancario. Precedentemente noti come truffe Man-in-the-Email, questi schemi compromettono gli account email ufficiali delle aziende per condurre trasferimenti di fondi non autorizzati.

Secondo l’FBI, le vittime hanno perso più 750 milioni di dollari e hanno colpito più di 7.000 persone tra ottobre 2013 e agosto 2015. A livello globale, i criminali informatici hanno truffato più di 50 milioni di dollari da vittime in paesi non americani.

Business email compromise email received

Come funziona?

Le truffe BEC spesso iniziano con un aggressore che compromette l’account di posta elettronica di un dirigente d’azienda o una qualsiasi email aziendale elencata pubblicamente. Solitamente questo avviene usando un keylogger o dei metodi di phishing, in cui gli aggressori creano un dominio che è simile a quello aziendale che stanno prendendo di mira. In altri casi, un’email falsificata che inganna il bersaglio a fornire i dettagli dell’account è sufficiente.

Dopo aver monitorato l’account e-mail compromesso, il truffatore cercherà di determinare chi avvia i bonifici e chi li richiede. I truffatori spesso eseguono una discreta quantità di ricerche, cercando una società che ha avuto un cambio di leadership nella dirigenza della funzione finanziaria, in cui i dirigenti sono in viaggio, o conducono conference call per gli investitori. Gli aggressori usano queste come opportunità per eseguire lo schema.

A questo punto, l’attacco si può svolgere in vari modi.

Versione 1: La fattura fasulla

Questa versione, che è stata anche chiamata “The Bogus Invoice Scheme“, “The Supplier Swindle“, e “Invoice Modification Scheme“, di solito coinvolge un’azienda che ha un rapporto stabile con un fornitore. Il truffatore chiede di trasferire i fondi per il pagamento della fattura su un conto alternativo e fraudolento tramite e-mail, telefono o fax.

Versione 2: Frode del CEO

In questa versione, i truffatori si identificano come dirigenti di alto livello (CFO, CEO, CTO, ecc.), avvocati o altri tipi di rappresentanti legali e pretendono di gestire questioni riservate o urgenti e richiedono di effettuare un bonifico bancario su un conto che controllano. In alcuni casi, la richiesta fraudolenta di bonifico è inviata direttamente all’istituto finanziario con le istruzioni di inviare urgentemente i fondi a un altro istituto. Questa truffa è anche conosciuta come “CEO Fraud“, “Business Executive Scam“, “Masquerading“, e “Financial Industry Wire Frauds“.

Versione 3: Compromissione dell’account

Simile alle altre due versioni, un account di posta elettronica di un dipendente viene violato e poi usato per fare richieste di pagamento di fatture a conti bancari controllati dai truffatori. I messaggi sono inviati a più fornitori identificati dalla lista dei contatti del dipendente. L’azienda potrebbe non rendersi conto dello schema fino a quando i loro fornitori non eseguono controlli sullo stato del pagamento della fattura.

Versione 4: Il finto avvocato

In questa versione, il cyber criminale contatta i dipendenti e/o l’amministratore delegato dell’azienda e si identifica come avvocato o rappresentante di uno studio legale, sostenendo di gestire questioni riservate e urgenti. Questo contatto, tipicamente fatto via telefono o e-mail, spinge la parte contattata ad agire rapidamente o segretamente nella gestione del trasferimento di fondi.

Questo tipo di schema di Business Email Compromise può essere programmato per verificarsi alla fine della giornata o della settimana lavorativa, quando i dipendenti si preparano a chiudere e quindi sono particolarmente sensibili a una situazione di emergenza.

Versione 5: Il furto di dati

Questo schema coinvolge email di dipendenti con ruoli specifici nell’azienda utilizzati per inviare richieste. Questa volta, però, le richieste non sono per trasferimenti di fondi ma per informazioni personali identificabili di altri dipendenti e dirigenti. Questa variante può quindi servire come punto di partenza per attacchi BEC più elaborati e dannosi contro l’azienda.

La truffa si basa principalmente sull’ingegneria sociale e in genere non ha bisogno di una sofisticata penetrazione del sistema. A differenza delle truffe di phishing, le e-mail utilizzate nelle truffe BEC non sono inviate in massa per evitare di essere segnalate come spam. Le vittime sono indotte con l’inganno a fare i trasferimenti, di solito istruite ad agire rapidamente e in modo confidenziale durante il trasferimento dei fondi.

Business email compromise phishing

Alcuni casi noti

Nel marzo 2016, un numero crescente di società e imprese hanno subito danni da schemi di BEC. Aziende come Seagate e Snapchat sono state tra le imprese vittime di truffe via email che utilizzano lo stesso modus operandi. Alla fine dello stesso mese, la Pivotal Software, società con sede a San Francisco, è stata violata attraverso uno schema di phishing che ha fatto trapelare un numero imprecisato di informazioni fiscali dei dipendenti.

La violazione è stata avviata da una e-mail che sembrava provenire dal CEO della società Rob Mee, che richiedeva informazioni sul personale della società. Questo ha portato alla consegna delle informazioni W-2 dei dipendenti. Queste informazioni includevano indirizzi, dettagli sul reddito dell’anno precedente, numeri di previdenza sociale e di identificazione del contribuente individuale. Il destinatario dei dati, neanche a dirlo, non era autorizzato a richiedere o ricevere dati di questa natura.

Non molto tempo dopo questo incidente, schemi simili sono stati utilizzati per ottenere informazioni personali nel settore dell’istruzione. Sono trapelate informazioni W-2 di 3.000 dipendenti del Tidewater Community College, in Virginia. L’evento è stato scatenato da un messaggio di richiesta dal preside della Kentucky State University, ricevuto da uno dei membri del personale della scuola. La richiesta ha spinto il personale a trasmettere una lista di dipendenti e studenti insieme alle informazioni W-2.

Le truffe che coinvolgono il furto di informazioni personali tramite e-mail di phishing hanno dimostrato di essere una fonte di dati inesauribile. I dati rubati potrebbero essere venduti ed essere utilizzati anche per mettere in scena futuri attacchi o furti di identità. Come si è visto nelle recenti e precedenti truffe fiscali, le truffe via e-mail sono diventate uno dei metodi più veloci per ingannare gli utenti inconsapevoli.

Business email compromise

Come difendersi?

Il consiglio è sempre il solito: rimanere vigili ed educare i dipendenti su come evitare di essere vittime di truffe BEC e altri attacchi di phishing.

È importante sapere che i criminali informatici non si preoccupano delle dimensioni della vostra azienda. Anzi, solitamente, più vittime ci sono, meglio è. Questo tipo di truffatori non hanno bisogno di essere altamente tecnici in quanto possono trovare strumenti e servizi che soddisfano tutti i livelli di competenza tecnica nel deep web. Dato che il mondo si affida sempre più a servizi in cloud e in generale collegati tra loro, un singolo account compromesso è tutto ciò che può servire per ottenere ingenti quantità di denaro o dati da un’azienda.

Alcuni suggerimenti

  • Esaminare attentamente tutte le e-mail. Diffida delle e-mail inviate dai dirigenti aziendali, in quanto sono spesso utilizzate per ingannare i dipendenti ad agire con urgenza. Esaminare le e-mail che richiedono il trasferimento di fondi per determinare se le richieste sono irregolari.
  • Educare e formare i dipendenti. Mentre i dipendenti sono la più grande risorsa di un’azienda, di solito sono anche l’anello più debole quando si tratta di sicurezza. Impegnatevi a formare i dipendenti secondo le migliori pratiche dell’azienda. Ricorda loro che aderire alle politiche aziendali è una cosa, ma sviluppare buone abitudini di sicurezza è un’altra. Per questo offriamo un servizio di phishing etico orientato proprio all’educazione contro gli schemi Business Email Compromise e il phishing in generale.
  • Rimanete aggiornati sulle abitudini dei clienti, compresi i dettagli e le ragioni dei pagamenti.
  • Se sospetti di essere stato vittima di un’e-mail BEC, segnala immediatamente l’incidente alle forze dell’ordine. Inoltre, allerta la tua azienda così che possa alzare la guardia e stringere i controlli.

SOD può aiutarti a formare i tuoi dipendenti. Scopri come contattandoci, saremo lieti di rispondere a ogni dubbio.

Useful links:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS Feed sconosciuto

RSS darkreading

RSS Full Disclosure

  • SEC Consult SA-20241204-0 :: Multiple Critical Vulnerabilities in Image Access Scan2Net (14 CVE) Dicembre 5, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Dec 04SEC Consult Vulnerability Lab Security Advisory < 20241204-0 > ======================================================================= title: Multiple Critical Vulnerabilities product: Image Access Scan2Net vulnerable version: Firmware
  • Microsoft Warbird and PMP security research - technical doc Dicembre 3, 2024
    Posted by Security Explorations on Dec 03Hello All, We have released a technical document pertaining to our Warbird / PMP security research. It is available for download from this location: https://security-explorations.com/materials/wbpmp_doc.md.txt The document provides a more in-depth technical explanation, illustration and verification of discovered attacks affecting PlayReady on Windows 10 / 11 x64 and pertaining […]
  • Access Control in Paxton Net2 software Dicembre 3, 2024
    Posted by Jeroen Hermans via Fulldisclosure on Dec 02CloudAware Security Advisory [CVE pending]: Potential PII leak and incorrect access control in Paxton Net2 software ======================================================================== Summary ======================================================================== Insecure backend database in the Paxton Net2 software. Possible leaking of PII incorrect access control. No physical access to computer running Paxton Net2 is required....
  • SEC Consult SA-20241127-0 :: Stored Cross-Site Scripting in Omada Identity (CVE-2024-52951) Novembre 27, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Nov 27SEC Consult Vulnerability Lab Security Advisory < 20241127-0 > ======================================================================= title: Stored Cross-Site Scripting product: Omada Identity vulnerable version:
  • SEC Consult SA-20241125-0 :: Unlocked JTAG interface and buffer overflow in Siemens SM-2558 Protocol Element, Siemens CP-2016 & CP-2019 Novembre 27, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Nov 27SEC Consult Vulnerability Lab Security Advisory < 20241125-0 > ======================================================================= title: Unlocked JTAG interface and buffer overflow product: Siemens SM-2558 Protocol Element (extension module for Siemens SICAM AK3/TM/BC), Siemens CP-2016 & CP-2019 vulnerable version: JTAG: Unknown HW revision, Zynq Firmware...
  • Re: Local Privilege Escalations in needrestart Novembre 27, 2024
    Posted by Mark Esler on Nov 27The security fix for CVE-2024-48991, 6ce6136 (“core: prevent race condition on /proc/$PID/exec evaluation”) [0], introduced a regression which was subsequently fixed 42af5d3 ("core: fix regression of false positives for processes running in chroot or mountns (#317)") [1]. Many thanks to Ivan Kurnosov and Salvatore Bonaccorso for their review. [0] […]
  • APPLE-SA-11-19-2024-5 macOS Sequoia 15.1.1 Novembre 21, 2024
    Posted by Apple Product Security via Fulldisclosure on Nov 21APPLE-SA-11-19-2024-5 macOS Sequoia 15.1.1 macOS Sequoia 15.1.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121753. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. JavaScriptCore Available for: macOS Sequoia Impact: Processing maliciously crafted […]
  • Local Privilege Escalations in needrestart Novembre 21, 2024
    Posted by Qualys Security Advisory via Fulldisclosure on Nov 21Qualys Security Advisory LPEs in needrestart (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224, and CVE-2024-11003) ======================================================================== Contents ======================================================================== Summary Background CVE-2024-48990 (and CVE-2024-48992) CVE-2024-48991 CVE-2024-10224 (and CVE-2024-11003) Mitigation Acknowledgments Timeline I got bugs...
  • APPLE-SA-11-19-2024-4 iOS 17.7.2 and iPadOS 17.7.2 Novembre 21, 2024
    Posted by Apple Product Security via Fulldisclosure on Nov 21APPLE-SA-11-19-2024-4 iOS 17.7.2 and iPadOS 17.7.2 iOS 17.7.2 and iPadOS 17.7.2 addresses the following issues. Information about the security content is also available at https://support.apple.com/121754. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. JavaScriptCore Available for: iPhone XS […]
  • APPLE-SA-11-19-2024-3 iOS 18.1.1 and iPadOS 18.1.1 Novembre 21, 2024
    Posted by Apple Product Security via Fulldisclosure on Nov 21APPLE-SA-11-19-2024-3 iOS 18.1.1 and iPadOS 18.1.1 iOS 18.1.1 and iPadOS 18.1.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121752. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. JavaScriptCore Available for: iPhone XS […]

Customers

Newsletter

{subscription_form_2}