Messaggi

Passiamo direttamente alla definizione di Business Email Compromise: la Business Email Compromise (BEC) si verifica quando un hacker ottiene l'accesso a un account di posta elettronica aziendale e assume l'identità del titolare dell'account per commettere una frode ai danni dell'azienda. L'account di posta elettronica della vittima è affidabile. 

Spesso l'aggressore crea un account con un indirizzo e-mail quasi identico a quello della rete aziendale. Il BEC è anche chiamato "attacco man-in-the-email".

Non sorprende che l'FBI abbia classificato la Business Email Compromise (BEC) come una "truffa da 26 miliardi di dollari", dato il costo medio per le aziende di 5,01 milioni di dollari per violazionee la minaccia non fa che crescere. Gli attacchi BEC (Business Email Compromise) prendono di mira i dipendenti che utilizzano indirizzi e-mail aziendali fittizi o legittimi. Oltre 1,8 miliardi di dollari sono stati guadagnati dai truffatori BEC nel 2020, più di qualsiasi altra forma di crimine informatico.

Che cos'è la Business Email Compromise e come funziona?

In un attacco BEC, gli attori della minaccia si fingono lavoratori o partner affidabili. Convincono la vittima a compiere un'azione, come concedere l'accesso a informazioni riservate o inviare denaro. Gli attori delle minacce continuano ad avere successo nonostante la maggiore conoscenza della compromissione delle e-mail aziendali.

La frequenza di questi assalti rivolti ai consumatori anormali è aumentata di ben l'84% durante la prima e la seconda metà del 2021. Ciononostante, nella seconda metà del 2021, il tasso di aggressione è salito a 0,82 per mille caselle postali.

Quali sono i principali tipi di attacchi alle e-mail aziendali?

Secondo l'FBI, i principali tipi di truffa BEC sono:

Falsi enti di beneficenza

Negli attacchi BEC, una delle forme più comuni prevede l'invio di e-mail da parte di falsi enti di beneficenza che affermano di raccogliere fondi per una causa meritevole. Queste e-mail spesso includono allegati che contengono software dannoso progettato per infettare i computer con virus e altre minacce informatiche.

Problemi di viaggio

Un'altra truffa BEC comune prevede l'invio di e-mail da parte di false agenzie di viaggio che affermano che c'è stato un problema con la prenotazione di un volo o di un hotel, di solito perché qualcuno ha cancellato la propria prenotazione all'ultimo minuto. L'e-mail vi chiederà di aggiornare le vostre informazioni di viaggio cliccando su un allegato o su un link incluso nel messaggio. In questo caso, potreste installare inavvertitamente del malware sul vostro computer o consentire agli hacker di accedere ai dati sensibili memorizzati sul vostro dispositivo.

Minacce fiscali

Questo attacco prevede la minaccia di un'agenzia governativa di intraprendere azioni legali o ufficiali se le vittime non pagano il denaro. Spesso queste truffe prevedono fatture false e richieste di pagamento per evitare conseguenze legali.

Impersonificazione di un avvocato

Queste e-mail affermano che un avvocato ha bisogno del vostro aiuto per una questione legale: è stato arrestato o sta cercando di riscuotere denaro dovuto da qualcun altro. In questi casi, i truffatori chiedono i vostri dati personali in modo da potervi "aiutare" con la questione legale in questione (come la restituzione di denaro).

Il sistema delle fatture false

In questa truffa, un'azienda invia una fattura a un'altra azienda, di solito per un importo significativo. Nella fattura si afferma che il destinatario deve del denaro per servizi o articoli che non ha ricevuto. È possibile che venga richiesto un bonifico per pagare la fattura falsa.

Furto di dati

Questa truffa consiste nel sottrarre dati sensibili alla vostra azienda e venderli ai concorrenti o ad altre parti interessate. I ladri possono anche minacciare di pubblicare i vostri dati se non soddisfate le loro richieste.

Come funzionano gli attacchi BEC?

Ecco come funzionano gli attacchi BEC:

  • Account di posta elettronica o sito web spoofato - L'aggressore crea un indirizzo di posta elettronica o un sito web che sembra legittimo. Da questo account invierà una o più e-mail di phishing chiedendo informazioni finanziarie, come numeri di conto corrente e PIN. L'utilizzo del DMARC può aiutarvi a evitare che gli hacker effettuino lo spoofing del vostro dominio.
  • Email di Spear Phishing - Le email di Spear Phishing sono email altamente mirate inviate direttamente a un dipendente sul suo posto di lavoro. Spesso sono camuffate da comunicazioni interne provenienti da qualcuno all'interno dell'azienda (ad esempio, un dirigente), e contengono oggetti come "bonifico urgente" o "fattura urgente" che richiedono immediatamente dati sensibili.
  • Utilizzo di malware - Gli aggressori possono installare un software dannoso (malware) sul computer della vittima e utilizzarlo per tracciare la sua attività, catturare i tasti premuti o fare screenshot. I keylogger possono anche essere installati sui sistemi informatici se l'aggressore ha accesso fisico ad essi.

Come prevenire la compromissione delle e-mail aziendali?

Un attacco BEC riuscito può costare molto denaro a un'azienda e causare danni significativi. Tuttavia, è possibile prevenire questi attacchi seguendo alcuni semplici accorgimenti, quali:

1. Proteggere il proprio dominio con DMARC

Queste e-mail BEC possono essere bloccate utilizzando DMARC. Un'organizzazione può identificare quali fonti inviano e-mail a nome del proprio dominio attraverso la verifica del mittente e l'allineamento del dominio utilizzando il protocollo, oltre a una maggiore visibilità sui propri canali e-mail. Le organizzazioni possono assicurarsi che tutte le fonti affidabili siano correttamente convalidate utilizzando queste informazioni. Un'organizzazione può implementare un criterio p=reject DMARC se tutte le fonti legittimese tutte le fonti legittime sono state completamente autenticate.

Grazie a questo criterio, tutte le e-mail dannose verranno rifiutate e non raggiungeranno più la casella di posta del destinatario, riducendo così il rischio che le e-mail compromettenti per l'azienda raggiungano i vostri clienti.

2. Protezioni anti-phishing

Utilizzate un software anti-phishing che analizza le e-mail in arrivo alla ricerca di link e allegati dannosi che potrebbero infettare la vostra rete.

3. Separazione dei compiti

Assicurarsi che le funzioni critiche non siano svolte da una sola persona. In questo modo si riduce il rischio che un dipendente venga costretto a eseguire azioni non autorizzate.

4. Etichettatura delle e-mail esterne

Assicuratevi che tutte le e-mail esterne siano etichettate come tali o inoltrate tramite un gateway e-mail sicuro, in modo che non sembrino inviate direttamente dalla rete dell'organizzazione.

5. Esaminare attentamente l'indirizzo e-mail

Esaminate attentamente l'indirizzo e-mail. Se proviene da una persona che conoscete, aprite l'e-mail e leggetela. Se proviene da una persona che non conoscete, chiedete perché vi sta contattando. Inoltre, verificate che l'oggetto dell'e-mail contenga informazioni sull'e-mail stessa. L'oggetto deve corrispondere a quello della vostra casella di posta.

6. Educare i dipendenti

La migliore difesa contro gli attacchi BEC è la formazione dei dipendenti. I dipendenti devono essere informati sulla minaccia della BEC, su come funziona e su come possono essere presi di mira. Devono inoltre essere a conoscenza delle politiche aziendali sull'uso della posta elettronica aziendale e sugli utenti autorizzati.

Conclusione

Le truffe di Business Email Compromise eludono anche le misure di sicurezza più avanzate e di solito intrappolano un ignaro CEO o CFO con una singola e-mail. In definitiva, la BEC è un vettore di attacco veramente insidioso che rimane prevalente nel mondo delle imprese. E questo significa che dovreste esserne consapevoli.

Utilizzare l'analizzatore analizzatore DMARC di PowerDMARC per garantire il recapito delle e-mail del vostro dominio ed evitare l'invio di e-mail false. Quando interrompete lo spoofing, non vi limitate a proteggere il vostro marchio. Assicurerete la sopravvivenza della vostra azienda.

Una forma in continua evoluzione e dilagante di criminalità informatica che prende di mira le e-mail come potenziale mezzo per condurre la frode è conosciuta come Business Email Compromise. Prendendo di mira organizzazioni commerciali, governative e non-profit, l'attacco BEC può portare a enormi quantità di perdita di dati, violazione della sicurezza e compromissione dei beni finanziari. È un malinteso comune che i criminali informatici di solito si concentrano sulle multinazionali e sulle organizzazioni a livello aziendale. Le PMI in questi giorni sono altrettanto un bersaglio per le frodi via e-mail, come i più grandi operatori del settore. 

Come può la BEC influenzare le organizzazioni?

Esempi di attacco BEC includono sofisticati attacchi di ingegneria sociale come il phishing, la frode del CEO, le fatture false e lo spoofing delle e-mail, per citarne alcuni. Può anche essere definito come un attacco di impersonificazione in cui un attaccante mira a frodare una società, fingendo di essere persone in posizioni autoritarie. Impersonare persone come il CFO o il CEO, un partner d'affari o chiunque su cui si ripone ciecamente la propria fiducia, è ciò che guida il successo di questi attacchi.

Il febbraio del 2021 ha catturato le attività della cyber gang russa Cosmic Lynx, che ha adottato un approccio sofisticato verso il BEC. Il gruppo era già stato collegato alla conduzione di oltre 200 campagne BEC da luglio 2019, prendendo di mira oltre 46 paesi in tutto il mondo, concentrandosi su gigantesche MNC che hanno una presenza globale. Con email di phishing estremamente ben scritte, stanno rendendo impossibile per le persone distinguere tra messaggi reali e falsi.

Il lavoro a distanza ha reso le applicazioni di videoconferenza entità indispensabili, post-pandemia. I criminali informatici stanno approfittando di questa situazione inviando e-mail fraudolente che impersonano una notifica dalla piattaforma di videoconferenza, Zoom. Questo ha lo scopo di rubare le credenziali di accesso per condurre massicce violazioni dei dati aziendali.

È chiaro che la rilevanza del BEC sta rapidamente emergendo e aumentando negli ultimi tempi, con gli attori delle minacce che escogitano modi più sofisticati e innovativi per farla franca con le frodi. L'attacco BEC colpisce più del 70% delle organizzazioni in tutto il mondo e porta alla perdita di miliardi di dollari ogni anno. Questo è il motivo per cui gli esperti del settore stanno arrivando con protocolli di autenticazione e-mail come DMARC, per offrire un alto livello di protezione contro l'impersonificazione.

Cos'è l'autenticazione e-mail?

L'autenticazione delle e-mail può essere definita come un insieme di tecniche impiegate per fornire informazioni verificabili sull'origine delle e-mail. Questo viene fatto autenticando la proprietà del dominio dell'agente o degli agenti di trasferimento della posta coinvolti nel trasferimento del messaggio.

Il Simple Mail Transfer Protocol (SMTP), che è lo standard industriale per il trasferimento delle e-mail, non ha questa caratteristica incorporata per l'autenticazione dei messaggi. Questo è il motivo per cui sfruttare la mancanza di sicurezza diventa estremamente facile per i criminali informatici per lanciare attacchi di phishing e spoofing del dominio. Questo evidenzia la necessità di protocolli di autenticazione e-mail efficaci come DMARC, che effettivamente mantiene le sue affermazioni!

Passi per prevenire l'attacco BEC con DMARC

 

Passo 1: Attuazione 

Il primo passo per combattere gli attacchi BEC è effettivamente configurare DMARC per il tuo dominio. Domain-based Message Authentication, Reporting and Conformance (DMARC) fa uso degli standard di autenticazione SPF e DKIM per convalidare le e-mail inviate dal vostro dominio. Specifica ai server riceventi come rispondere alle email che falliscono uno o entrambi i controlli di autenticazione, dando al proprietario del dominio il controllo sulla risposta del ricevitore. Quindi, per implementare DMARC, è necessario:

  • Identificare tutte le fonti di e-mail valide autorizzate per il tuo dominio
  • Pubblica il record SPF nel tuo DNS per configurare SPF per il tuo dominio
  • Pubblica il record DKIM nel tuo DNS per configurare DKIM per il tuo dominio
  • Pubblica il record DMARC nel tuo DNS per configurare DMARC per il tuo dominio

Al fine di evitare le complessità, è possibile utilizzare gli strumenti gratuiti di PowerDMARC (generatore di record SPF gratuito, generatore di record DKIM gratuito, generatore di record DMARC gratuito) per generare record con la sintassi corretta, istantaneamente, da pubblicare nel DNS del vostro dominio.

Passo 2: Applicazione 

La vostra politica DMARC può essere impostata su:

  • p=none (DMARC al solo monitoraggio; i messaggi che falliscono l'autenticazione verrebbero comunque consegnati)
  • p=quarantena (DMARC all'applicazione; i messaggi che falliscono l'autenticazione verrebbero messi in quarantena)
  • p=reject (DMARC al massimo dell'applicazione; i messaggi che falliscono l'autenticazione non verrebbero consegnati affatto)

Vi raccomandiamo di iniziare ad usare DMARC con una politica che permetta solo il monitoraggio, in modo da poter tenere sotto controllo il flusso di email e i problemi di consegna. Tuttavia, una tale politica non fornirebbe alcuna protezione contro il BEC. Questo è il motivo per cui alla fine si dovrebbe passare all'applicazione di DMARC. PowerDMARC vi aiuta a passare senza soluzione di continuità dal monitoraggio all'applicazione in pochissimo tempo con una policy di p=reject che vi aiuterà a specificare ai server riceventi che un'email inviata da una fonte malevola utilizzando il vostro dominio non sarà consegnata alla casella di posta del vostro destinatario.

Fase 3: Monitoraggio e reporting 

Avete impostato la vostra politica DMARC sull'enforcement e avete minimizzato con successo l'attacco BEC, ma è sufficiente? La risposta è no. Avete ancora bisogno di un meccanismo di reporting ampio ed efficace per monitorare il flusso di e-mail e rispondere a qualsiasi problema di consegna. La piattaforma SaaS multitenant di PowerDMARC vi aiuta:

  • rimani in controllo del tuo dominio
  • monitorare visivamente i risultati dell'autenticazione per ogni email, utente e dominio registrato per te
  • abbattere gli indirizzi IP abusivi che cercano di impersonare il tuo marchio

I rapporti DMARC sono disponibili sulla dashboard di PowerDMARC in due formati principali:

  • Rapporti aggregati DMARC (disponibili in 7 viste diverse)
  • Rapporti forensi DMARC (con crittografia per una maggiore privacy)

Il culmine dell'implementazione, dell'applicazione e del reporting di DMARC vi aiuta a ridurre drasticamente le possibilità di cadere preda di attacchi BEC e di impersonificazione. 

Con i filtri anti-spam ho ancora bisogno di DMARC?

Sì! DMARC funziona in modo molto diverso dai tuoi normali filtri anti-spam e gateway di sicurezza e-mail. Mentre queste soluzioni di solito sono integrate con i vostri servizi di scambio e-mail basati su cloud, possono solo offrire protezione contro i tentativi di phishing in entrata. I messaggi inviati dal vostro dominio, rimangono ancora sotto la minaccia di impersonificazione. È qui che entra in gioco DMARC.

Ulteriori suggerimenti per migliorare la sicurezza delle e-mail

 

Rimanere sempre sotto il limite dei 10 DNS Lookup 

Superare il limite di 10 ricerche SPF può invalidare completamente il vostro record SPF e far fallire l'autenticazione anche delle email legittime. In questi casi, se hai il tuo DMARC impostato su "reject", le email autentiche non verranno consegnate. PowerSPF è il tuo appiattitore di record SPF automatico e dinamico che mitiga il permerrore SPF aiutandoti a rimanere sotto il limite rigido SPF. Aggiorna automaticamente i netblock e scansiona i cambiamenti fatti dai tuoi fornitori di servizi e-mail ai loro indirizzi IP costantemente, senza alcun intervento da parte tua.

Garantire la crittografia TLS delle e-mail in transito

Mentre DMARC può proteggervi dagli attacchi di ingegneria sociale e BEC, avete ancora bisogno di attrezzarvi contro gli attacchi di monitoraggio pervasivi come Man-in-the-middle (MITM). Questo può essere fatto assicurando che una connessione protetta su TLS sia negoziata tra i server SMTP ogni volta che un'e-mail viene inviata al tuo dominio. L'hosted MTA-STS di PowerDMARC rende la crittografia TLS obbligatoria in SMTP e viene fornito con una facile procedura di implementazione.

Ottenere rapporti sui problemi nella consegna delle e-mail

Potete anche abilitare il reporting SMTP TLS per ottenere rapporti diagnostici sui problemi di consegna delle e-mail dopo aver configurato MTA-STS per il vostro dominio. TLS-RPT ti aiuta a ottenere visibilità nel tuo ecosistema di posta elettronica e a rispondere meglio ai problemi nella negoziazione di una connessione protetta che porta a errori di consegna. I report TLS sono disponibili in due visualizzazioni (report aggregati per risultato e per fonte di invio) sulla dashboard di PowerDMARC.

Amplifica il richiamo del tuo marchio con BIMI 

Con BIMI (Brand Indicators for Message Identification) puoi portare il richiamo del tuo marchio a un livello completamente nuovo aiutando i tuoi destinatari a identificarti visivamente nelle loro caselle di posta. BIMI funziona allegando il logo unico del vostro marchio ad ogni e-mail che inviate dal vostro dominio. PowerDMARC rende facile l'implementazione di BIMI con soli 3 semplici passi da parte dell'utente.

PowerDMARC è la tua destinazione unica per una serie di protocolli di autenticazione e-mail tra cui DMARC, SPF, DKIM, BIMI, MTA-STS e TLS-RPT. Iscriviti oggi per avere la tua prova gratuita di DMARC Analyzer!