Attacco BEC

Una forma in continua evoluzione e dilagante di criminalità informatica che prende di mira le e-mail come potenziale mezzo per condurre la frode è conosciuta come Business Email Compromise. Prendendo di mira organizzazioni commerciali, governative e non-profit, l'attacco BEC può portare a enormi quantità di perdita di dati, violazione della sicurezza e compromissione dei beni finanziari. È un malinteso comune che i criminali informatici di solito si concentrano sulle multinazionali e sulle organizzazioni a livello aziendale. Le PMI in questi giorni sono altrettanto un bersaglio per le frodi via e-mail, come i più grandi operatori del settore. 

Come può la BEC influenzare le organizzazioni?

Esempi di attacco BEC includono sofisticati attacchi di ingegneria sociale come il phishing, la frode del CEO, le fatture false e lo spoofing delle e-mail, per citarne alcuni. Può anche essere definito come un attacco di impersonificazione in cui un attaccante mira a frodare una società, fingendo di essere persone in posizioni autoritarie. Impersonare persone come il CFO o il CEO, un partner d'affari o chiunque su cui si ripone ciecamente la propria fiducia, è ciò che guida il successo di questi attacchi.

Il febbraio del 2021 ha catturato le attività della cyber gang russa Cosmic Lynx, che ha adottato un approccio sofisticato verso il BEC. Il gruppo era già stato collegato alla conduzione di oltre 200 campagne BEC da luglio 2019, prendendo di mira oltre 46 paesi in tutto il mondo, concentrandosi su gigantesche MNC che hanno una presenza globale. Con email di phishing estremamente ben scritte, stanno rendendo impossibile per le persone distinguere tra messaggi reali e falsi.

Il lavoro a distanza ha reso le applicazioni di videoconferenza entità indispensabili, post-pandemia. I criminali informatici stanno approfittando di questa situazione inviando e-mail fraudolente che impersonano una notifica dalla piattaforma di videoconferenza, Zoom. Questo ha lo scopo di rubare le credenziali di accesso per condurre massicce violazioni dei dati aziendali.

È chiaro che la rilevanza del BEC sta rapidamente emergendo e aumentando negli ultimi tempi, con gli attori delle minacce che escogitano modi più sofisticati e innovativi per farla franca con le frodi. L'attacco BEC colpisce più del 70% delle organizzazioni in tutto il mondo e porta alla perdita di miliardi di dollari ogni anno. Questo è il motivo per cui gli esperti del settore stanno arrivando con protocolli di autenticazione e-mail come DMARC, per offrire un alto livello di protezione contro l'impersonificazione.

Cos'è l'autenticazione e-mail?

L'autenticazione delle e-mail può essere definita come un insieme di tecniche impiegate per fornire informazioni verificabili sull'origine delle e-mail. Questo viene fatto autenticando la proprietà del dominio dell'agente o degli agenti di trasferimento della posta coinvolti nel trasferimento del messaggio.

Il Simple Mail Transfer Protocol (SMTP), che è lo standard industriale per il trasferimento delle e-mail, non ha questa caratteristica incorporata per l'autenticazione dei messaggi. Questo è il motivo per cui sfruttare la mancanza di sicurezza diventa estremamente facile per i criminali informatici per lanciare attacchi di phishing e spoofing del dominio. Questo evidenzia la necessità di protocolli di autenticazione e-mail efficaci come DMARC, che effettivamente mantiene le sue affermazioni!

Passi per prevenire l'attacco BEC con DMARC

 

Passo 1: Attuazione 

Il primo passo per combattere gli attacchi BEC è effettivamente configurare DMARC per il tuo dominio. Domain-based Message Authentication, Reporting and Conformance (DMARC) fa uso degli standard di autenticazione SPF e DKIM per convalidare le e-mail inviate dal vostro dominio. Specifica ai server riceventi come rispondere alle email che falliscono uno o entrambi i controlli di autenticazione, dando al proprietario del dominio il controllo sulla risposta del ricevitore. Quindi, per implementare DMARC, è necessario:

  • Identificare tutte le fonti di e-mail valide autorizzate per il tuo dominio
  • Pubblica il record SPF nel tuo DNS per configurare SPF per il tuo dominio
  • Pubblica il record DKIM nel tuo DNS per configurare DKIM per il tuo dominio
  • Pubblica il record DMARC nel tuo DNS per configurare DMARC per il tuo dominio

Al fine di evitare le complessità, è possibile utilizzare gli strumenti gratuiti di PowerDMARC (generatore di record SPF gratuito, generatore di record DKIM gratuito, generatore di record DMARC gratuito) per generare record con la sintassi corretta, istantaneamente, da pubblicare nel DNS del vostro dominio.

Passo 2: Applicazione 

La vostra politica DMARC può essere impostata su:

  • p=none (DMARC al solo monitoraggio; i messaggi che falliscono l'autenticazione verrebbero comunque consegnati)
  • p=quarantena (DMARC all'applicazione; i messaggi che falliscono l'autenticazione verrebbero messi in quarantena)
  • p=reject (DMARC al massimo dell'applicazione; i messaggi che falliscono l'autenticazione non verrebbero consegnati affatto)

Vi raccomandiamo di iniziare ad usare DMARC con una politica che permetta solo il monitoraggio, in modo da poter tenere sotto controllo il flusso di email e i problemi di consegna. Tuttavia, una tale politica non fornirebbe alcuna protezione contro il BEC. Questo è il motivo per cui alla fine si dovrebbe passare all'applicazione di DMARC. PowerDMARC vi aiuta a passare senza soluzione di continuità dal monitoraggio all'applicazione in pochissimo tempo con una policy di p=reject che vi aiuterà a specificare ai server riceventi che un'email inviata da una fonte malevola utilizzando il vostro dominio non sarà consegnata alla casella di posta del vostro destinatario.

Fase 3: Monitoraggio e reporting 

Avete impostato la vostra politica DMARC sull'enforcement e avete minimizzato con successo l'attacco BEC, ma è sufficiente? La risposta è no. Avete ancora bisogno di un meccanismo di reporting ampio ed efficace per monitorare il flusso di e-mail e rispondere a qualsiasi problema di consegna. La piattaforma SaaS multitenant di PowerDMARC vi aiuta:

  • rimani in controllo del tuo dominio
  • monitorare visivamente i risultati dell'autenticazione per ogni email, utente e dominio registrato per te
  • abbattere gli indirizzi IP abusivi che cercano di impersonare il tuo marchio

I rapporti DMARC sono disponibili sulla dashboard di PowerDMARC in due formati principali:

  • Rapporti aggregati DMARC (disponibili in 7 viste diverse)
  • Rapporti forensi DMARC (con crittografia per una maggiore privacy)

Il culmine dell'implementazione, dell'applicazione e del reporting di DMARC vi aiuta a ridurre drasticamente le possibilità di cadere preda di attacchi BEC e di impersonificazione. 

Con i filtri anti-spam ho ancora bisogno di DMARC?

Sì! DMARC funziona in modo molto diverso dai tuoi normali filtri anti-spam e gateway di sicurezza e-mail. Mentre queste soluzioni di solito sono integrate con i vostri servizi di scambio e-mail basati su cloud, possono solo offrire protezione contro i tentativi di phishing in entrata. I messaggi inviati dal vostro dominio, rimangono ancora sotto la minaccia di impersonificazione. È qui che entra in gioco DMARC.

Ulteriori suggerimenti per migliorare la sicurezza delle e-mail

 

Rimanere sempre sotto il limite dei 10 DNS Lookup 

Superare il limite di 10 ricerche SPF può invalidare completamente il vostro record SPF e far fallire l'autenticazione anche delle email legittime. In questi casi, se hai il tuo DMARC impostato su "reject", le email autentiche non verranno consegnate. PowerSPF è il tuo appiattitore di record SPF automatico e dinamico che mitiga il permerrore SPF aiutandoti a rimanere sotto il limite rigido SPF. Aggiorna automaticamente i netblock e scansiona i cambiamenti fatti dai tuoi fornitori di servizi e-mail ai loro indirizzi IP costantemente, senza alcun intervento da parte tua.

Garantire la crittografia TLS delle e-mail in transito

Mentre DMARC può proteggervi dagli attacchi di ingegneria sociale e BEC, avete ancora bisogno di attrezzarvi contro gli attacchi di monitoraggio pervasivi come Man-in-the-middle (MITM). Questo può essere fatto assicurando che una connessione protetta su TLS sia negoziata tra i server SMTP ogni volta che un'e-mail viene inviata al tuo dominio. L'hosted MTA-STS di PowerDMARC rende la crittografia TLS obbligatoria in SMTP e viene fornito con una facile procedura di implementazione.

Ottenere rapporti sui problemi nella consegna delle e-mail

Potete anche abilitare il reporting SMTP TLS per ottenere rapporti diagnostici sui problemi di consegna delle e-mail dopo aver configurato MTA-STS per il vostro dominio. TLS-RPT ti aiuta a ottenere visibilità nel tuo ecosistema di posta elettronica e a rispondere meglio ai problemi nella negoziazione di una connessione protetta che porta a errori di consegna. I report TLS sono disponibili in due visualizzazioni (report aggregati per risultato e per fonte di invio) sulla dashboard di PowerDMARC.

Amplifica il richiamo del tuo marchio con BIMI 

Con BIMI (Brand Indicators for Message Identification) puoi portare il richiamo del tuo marchio a un livello completamente nuovo aiutando i tuoi destinatari a identificarti visivamente nelle loro caselle di posta. BIMI funziona allegando il logo unico del vostro marchio ad ogni e-mail che inviate dal vostro dominio. PowerDMARC rende facile l'implementazione di BIMI con soli 3 semplici passi da parte dell'utente.

PowerDMARC è la tua destinazione unica per una serie di protocolli di autenticazione e-mail tra cui DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT. Iscriviti oggi per avere la tua prova gratuita di DMARC Analyzer!