Che cos'è la compromissione delle e-mail aziendali?

Blog

Che cos'è la Business Email Compromise? La BEC si verifica quando un hacker assume l'identità del proprietario di un dominio per commettere una frode ai danni dell'azienda.

di Ahona Rudra

Ultimo aggiornamento:
8 Tempo di lettura: 8 minuti
Che cos'è la compromissione delle e-mail aziendali?
Indice dei contenuti-

Passando direttamente alla definizione di Business Email Compromise: la Business Email Compromise (BEC) si verifica quando un hacker ottiene l'accesso a un account di posta elettronica aziendale o ne falsifica uno dall'aspetto legittimo e assume l'identità del titolare dell'account per commettere una frode ai danni dell'azienda. Gli attacchi BEC, che prendono di mira organizzazioni commerciali, governative e no-profit, possono portare a enormi perdite di dati, violazioni della sicurezza e compromissione delle attività finanziarie. È un malinteso comune che i criminali informatici si concentrino di solito sulle multinazionali e sulle organizzazioni di livello enterprise; le PMI oggi sono un bersaglio delle frodi via e-mail tanto quanto i grandi operatori del settore. L'acquisizione dell'account e-mail della vittima è affidabile. Può anche essere definito come un attacco di impersonificazione in cui un aggressore mira a frodare un'azienda, fingendo di essere persone in posizioni autoritarie, come il CFO o il CEO, un partner commerciale o chiunque altro di cui l'obiettivo possa implicitamente fidarsi.

Un aggressore spesso crea un account con un indirizzo e-mail quasi identico a quello della rete aziendale, spesso utilizzando tecniche come il typosquatting (ad esempio, amaz0n.com invece di amazon.com) o domini simili. Il BEC è anche chiamato "attacco man-in-the-email". Gli attacchi BEC di base sono pericolosi perché è piuttosto difficile individuarli, in quanto possono sembrare provenire dall'indirizzo e-mail legittimo di un'azienda, rendendo difficile risalire ai link incorporati a URL discutibili utilizzati dagli hacker.

Non sorprende che l'FBI abbia classificato la Business Email Compromise (BEC) come una "truffa da 26 miliardi di dollari", dato il costo medio per le aziende di 5,01 milioni di dollari per violazionee la minaccia è in continua crescita. Gli attacchi BEC (Business Email Compromise) prendono di mira i dipendenti che utilizzano indirizzi e-mail aziendali fittizi o legittimi. Oltre 1,8 miliardi di dollari sono stati guadagnati dai truffatori BEC nel 2020, più di qualsiasi altra forma di crimine informatico, e gli Stati Uniti sono il centro principale di questo impatto. Gli attacchi BEC colpiscono oltre il 70% delle organizzazioni in tutto il mondo e comportano la perdita di miliardi di dollari ogni anno.

I punti chiave da prendere in considerazione

  1. Il Business Email Compromise (BEC) è un sofisticato attacco di impersonificazione che prende di mira organizzazioni di tutte le dimensioni, con l'obiettivo di frodare attraverso e-mail ingannevoli che si spacciano per entità fidate.
  2. La BEC si basa molto sull'ingegneria sociale, utilizzando tattiche come la frode del CEO, le fatture false e i domini sosia per manipolare i dipendenti a trasferire fondi o a divulgare dati sensibili.
  3. L'implementazione e l'applicazione del DMARC (con SPF e DKIM) con una politica di `p=rifiuto` è fondamentale per prevenire lo spoofing del dominio e bloccare le e-mail non autorizzate.
  4. È essenziale una strategia di difesa a più livelli, che comprenda la formazione dei dipendenti, protocolli rigorosi di verifica dei pagamenti, MFA e vigilanza contro il typosquatting.
  5. L'utilizzo di protocolli di sicurezza e-mail aggiuntivi come MTA-STS per la crittografia TLS e BIMI per il riconoscimento del marchio può migliorare ulteriormente la protezione e la fiducia.

Che cos'è la Business Email Compromise e come funziona?

In un attacco BEC, gli attori della minaccia si fingono lavoratori o partner affidabili. Convincono la vittima a compiere un'azione, come concedere l'accesso a informazioni riservate o inviare denaro, spesso utilizzando sofisticati attacchi di social engineering come il phishing, la frode del CEO, le fatture false e lo spoofing delle e-mail. Gli attori delle minacce continuano ad avere successo nonostante la maggiore conoscenza della compromissione delle e-mail aziendali. Ad esempio, la cyber gang russa Cosmic Lynx ha condotto numerose campagne BEC sofisticate utilizzando e-mail di phishing ben scritte, rendendo difficile il rilevamento. Inoltre, i criminali informatici sfruttano tendenze come il lavoro a distanza inviando e-mail fraudolente che impersonano strumenti popolari come Zoom per rubare le credenziali di accesso.

La frequenza di questi assalti rivolti ai consumatori anormali è aumentata di ben l'84% durante la prima e la seconda metà del 2021. Ciononostante, nella seconda metà del 2021, il tasso di aggressione è salito a 0,82 per mille caselle di posta elettronica. Gli attori delle minacce spesso seguono fasi specifiche per eseguire le truffe BEC:

  1. Targeting di elenchi di e-mail: I malintenzionati raccolgono le e-mail di destinazione da LinkedIn, database o siti web.
  2. Lancio dell'attacco: Inviano e-mail utilizzando domini spoofed o lookalike e nomi di mittenti falsi.
  3. Ingegneria sociale: Gli aggressori si spacciano per funzionari fidati, creando urgenza per sollecitare trasferimenti di denaro o condivisione di dati.
  4. Guadagni finanziari: La fase finale in cui si verifica il furto finanziario o la violazione dei dati.

Semplificate la sicurezza con PowerDMARC!

Prova di 15 giorniPrenota una demo

Quali sono i principali tipi di attacchi alle e-mail aziendali?

Secondo l'FBI, i principali tipi di truffa BEC sono:

Falsi enti di beneficenza

Negli attacchi BEC, una delle forme più comuni prevede l'invio di e-mail da parte di falsi enti di beneficenza che affermano di raccogliere fondi per una causa meritevole. Queste e-mail spesso includono allegati che contengono software dannoso progettato per infettare i computer con virus e altre minacce informatiche. Anche le organizzazioni non profit devono affrontare minacce alla sicurezza simili attraverso donazioni spam e attacchi di carding, che possono compromettere la fiducia dei donatori e l'integrità dei dati. 

Problemi di viaggio

Un'altra truffa BEC comune prevede l'invio di e-mail da parte di false agenzie di viaggio che affermano che c'è stato un problema con la prenotazione di un volo o di un hotel, di solito perché qualcuno ha cancellato la propria prenotazione all'ultimo minuto. L'e-mail vi chiederà di aggiornare la vostra brochure di viaggio cliccando su un allegato o un link incluso nel messaggio. In questo caso, potreste installare inavvertitamente un malware sul vostro computer o consentire agli hacker di accedere ai dati sensibili memorizzati sul vostro dispositivo.

Minacce fiscali

Questo attacco prevede la minaccia di un'agenzia governativa di intraprendere azioni legali o ufficiali se le vittime non pagano il denaro. Spesso queste truffe prevedono fatture false e richieste di pagamento per evitare conseguenze legali.

Impersonificazione di un avvocato

Queste e-mail affermano che un avvocato ha bisogno del vostro aiuto per una questione legale: è stato arrestato o sta cercando di riscuotere denaro dovuto da qualcun altro. In questi casi, i truffatori chiedono i vostri dati personali in modo da potervi "aiutare" con la questione legale in questione (come la restituzione di denaro).

Il sistema delle fatture false

In questa truffa, un'azienda invia una fattura a un'altra azienda, di solito per un importo significativo. Nella fattura si afferma che il destinatario deve del denaro per servizi o articoli che non ha ricevuto. È possibile che venga richiesto un bonifico per pagare la fattura falsa.

Furto di dati

Questa truffa consiste nel sottrarre dati sensibili alla vostra azienda e venderli ai concorrenti o ad altre parti interessate. I ladri possono anche minacciare di pubblicare i vostri dati se non soddisfate le loro richieste.

Come funzionano gli attacchi BEC?

Ecco come funzionano gli attacchi BEC:

  • Account di posta elettronica o sito web spoofato - L'aggressore crea uno spoofing di un indirizzo di posta elettronica o di un sito web che appare legittimo, a volte utilizzando tecniche come il typosquatting o i domini lookalike. Da questo account invierà una o più e-mail di phishing chiedendo informazioni finanziarie, come numeri di conto corrente e PIN, o richiedendo trasferimenti di fondi. L'utilizzo di protocolli di autenticazione delle e-mail, come DMARC, SPF e DKIM, può aiutarvi a evitare che gli hacker effettuino lo spoofing del vostro dominio.
  • Email di Spear Phishing - Le email di Spear Phishing sono email altamente mirate inviate direttamente a specifici dipendenti, spesso quelli del settore finanziario o delle risorse umane. Spesso sono camuffate da comunicazioni interne provenienti da qualcuno all'interno dell'azienda (ad esempio, un dirigente), e contengono oggetti come "bonifico urgente" o "fattura urgente" che richiedono dati sensibili o un'azione immediata.
  • Utilizzo di malware - Gli aggressori possono installare software dannoso (malware) sul computer della vittima, spesso tramite link o allegati dannosi nelle e-mail di phishing. Utilizzano il malware per tracciare le attività, catturare i tasti premuti (keylogger), fare screenshot o ottenere un accesso persistente al sistema e alla rete.

Come prevenire la compromissione delle e-mail aziendali?

Un attacco BEC riuscito può costare molto denaro a un'azienda e causare danni significativi. Tuttavia, è possibile prevenire questi attacchi seguendo alcuni semplici accorgimenti, quali:

1. Proteggere il proprio dominio con DMARC, SPF e DKIM

I protocolli di autenticazione delle e-mail come Domain-based Message Authentication, Reporting and Conformance (DMARC), Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) sono essenziali. SPF consente di specificare quali server di posta sono autorizzati a inviare e-mail per il proprio dominio. DKIM aggiunge una firma digitale alle e-mail, consentendo ai destinatari di verificare che l'e-mail non sia stata manomessa.
Il DMARC si basa su SPF e DKIM. Un'organizzazione può identificare quali fonti inviano e-mail per conto del proprio dominio attraverso la verifica del mittente e l'allineamento del dominio utilizzando il protocollo, oltre a una maggiore visibilità sui propri canali e-mail. Il DMARC consente ai proprietari dei domini di specificare come i destinatari devono gestire le e-mail che non superano i controlli SPF o DKIM.
Per prevenire efficacemente i BEC, è necessario implementare il DMARC con una politica di applicazione. I criteri sono:

  • p=none: Monitora il traffico e-mail senza influenzare la consegna. Non fornisce alcuna protezione contro i BEC.
  • p=quarantine: Invia le e-mail sospette alla cartella spam o a quella della posta indesiderata del destinatario.
  • p=reject: Blocca completamente le e-mail che non superano i controlli di autenticazione. Questo è il criterio consigliato per ottenere la massima protezione da BEC.

Implementazione di DMARC richiede la pubblicazione di record SPF, DKIM e DMARC correttamente formattati nel proprio DNS. Una raccomandazione Record DMARC per l'applicazione della legge: v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; Questo criterio respinge le e-mail non riuscite e invia rapporti aggregati (rua) e forensi (ruf) agli indirizzi specificati per il monitoraggio. Solo un criterio di applicazione di rifiuto minimizza efficacemente il BEC, impedendo che le e-mail contraffatte raggiungano le caselle di posta dei destinatari. Mentre i filtri anti-spam proteggono dal phishing in entrata, il DMARC protegge il vostro dominio dall'essere usato in attacchi di phishing e spoofing in uscita.
Il monitoraggio regolare tramite i report DMARC (aggregati e forensi) è fondamentale per tracciare il flusso di e-mail, identificare i problemi di autenticazione e individuare potenziali tentativi di impersonificazione.

2. Protezioni anti-phishing

Utilizzate software anti-phishing e gateway di sicurezza e-mail che analizzano le e-mail in arrivo alla ricerca di link dannosi, allegati e segni di social engineering per bloccare le minacce prima che raggiungano gli utenti.

3. Separazione dei compiti e protocolli di pagamento

Assicuratevi che le funzioni critiche, in particolare le transazioni finanziarie come i bonifici, non siano svolte da una sola persona. Sviluppare protocolli rigorosi per l'approvazione dei pagamenti, richiedendo autorizzazioni multiple e una seconda conferma (ad esempio, una telefonata o una verifica di persona) per le richieste, soprattutto quelle urgenti o che comportano modifiche ai dettagli del pagamento.

4. Etichettatura delle e-mail esterne

Configurate il vostro sistema di posta elettronica per etichettare chiaramente le e-mail provenienti dall'esterno dell'organizzazione. Questo aiuta i dipendenti a identificare rapidamente i messaggi potenzialmente sospetti che cercano di spacciarsi per mittenti interni.

5. Esaminare attentamente gli indirizzi e-mail e i dettagli

Istruite i dipendenti a esaminare attentamente l'indirizzo e-mail del mittente per verificare che non vi siano differenze minime, typosquatting o domini simili. Verificate se l'indirizzo "rispondi a" corrisponde all'indirizzo "da". Diffidate delle e-mail che richiedono urgenza o segretezza.

6. Educare i dipendenti

La migliore difesa contro gli attacchi BEC è la formazione e la consapevolezza dei dipendenti. I dipendenti devono essere informati sulla minaccia della BEC, sul suo funzionamento, sulle tattiche comuni (come l'urgenza, l'impersonificazione di autorità) e su come possono essere presi di mira. Devono conoscere le politiche aziendali sull'uso della posta elettronica, sulla condivisione dei dati e sulle transazioni finanziarie, comprese le procedure di verifica. Implementate test di phishing simulati per valutare la consapevolezza e identificare le persone che necessitano di maggiore formazione. Incoraggiate i dipendenti a segnalare immediatamente qualsiasi e-mail o richiesta sospetta senza timore di ritorsioni.

7. Abilitare l'autenticazione a più fattori (MFA)

Implementate l'MFA per tutti gli account di posta elettronica e altri sistemi critici. L'MFA aggiunge un ulteriore livello di sicurezza oltre alla semplice password, riducendo significativamente il rischio di compromissione dell'account anche in caso di furto delle credenziali. Considerate l'MFA basato sul rischio o sulla posizione per una maggiore sicurezza.

8. Vietare l'inoltro automatico delle e-mail

Disattiva l'inoltro automatico delle e-mail a indirizzi esterni nelle impostazioni del sistema di posta elettronica della tua organizzazione. Gli hacker possono sfruttare questa funzione per monitorare silenziosamente le comunicazioni o reindirizzare informazioni sensibili dopo aver compromesso un account.

9. Implementare protocolli di sicurezza aggiuntivi

Considerate la possibilità di migliorare ulteriormente la sicurezza delle e-mail con:

  • MTA-STS (Mail Transfer Agent Strict Transport Security): Assicura la crittografia TLS per le e-mail in transito, proteggendo dalle intercettazioni e dagli attacchi man-in-the-middle. Utilizzate TLS-RPT (TLS Reporting) per ottenere rapporti sui successi e i fallimenti delle negoziazioni TLS.
  • BIMI (Brand Indicators for Message Identification): Allega il logo del vostro marchio verificato alle e-mail autenticate, aumentando il ricordo del marchio e aiutando i destinatari a identificare visivamente i messaggi legittimi nei client di posta elettronica supportati. BIMI richiede l'applicazione del DMARC.
  • Gestione dei record SPF: Assicuratevi che il vostro record SPF rimanga entro il limite di 10 ricerche DNS per evitare errori di convalida. Strumenti come l'appiattimento SPF possono aiutare a gestire record complessi.

10. Segnalazione di frode

Se sospettate o siete vittime di una truffa BEC, segnalatela immediatamente alle autorità competenti (come l'IC3 dell'FBI negli Stati Uniti) e alle vostre istituzioni finanziarie. La segnalazione aiuta le forze dell'ordine a rintracciare questi crimini e a recuperare potenzialmente i fondi.

Conclusione

Le truffe di Business Email Compromise eludono anche le misure di sicurezza più avanzate, spesso prendendo di mira personale chiave come l'amministratore delegato o il direttore finanziario con un'unica e-mail ben confezionata. In definitiva, la BEC è un vettore di attacco veramente insidioso che rimane prevalente nel mondo delle imprese. E questo significa che dovreste esserne consapevoli, indipendentemente dalle dimensioni della vostra organizzazione. Una combinazione di controlli tecnici come l'applicazione del DMARC, di solide procedure interne e di formazione continua dei dipendenti è necessaria per costruire una difesa forte.

Utilizzare l'analizzatore analizzatore DMARC di PowerDMARC per garantire il recapito delle e-mail del vostro dominio ed evitare l'invio di e-mail false. Quando interrompete lo spoofing, non vi limitate a proteggere il vostro marchio. Si assicura la sopravvivenza dell'azienda implementando una parte cruciale dello stack di autenticazione delle e-mail, che può includere anche SPF, DKIM, BIMI, MTA-STS e TLS-RPT per una protezione completa.

Ultimi messaggi di Ahona Rudra (vedi tutti)
Ultimo aggiornamento:
DMARC e liste di posta elettronicaDMARC e liste di posta elettronicaCos'è lo Smishing 01 01Che cos'è lo smishing?