I Business E-mail Compromise (BEC) sono forme di cybercrime che adoperano e-mail fraudolente per attaccare aziende, governi e organizzazioni no-profit.
Solitamente l’obiettivo è indurre un trasferimento monetario su conti esterni all’azienda, ma il fine può essere anche quello di danneggiare l’impresa stessa od ottenere dati riutilizzabili per truffe più elaborate.
Come vengono costruiti i BEC
La principale particolarità delle BEC sta nel fatto che le e-mail vengono inviate da indirizzi legittimi, ottenuti tramite una prima e preventiva violazione di un account aziendale. Da questo, l’attacco è spedito a un altro impiegato che ricopre uno specifico ruolo gestionale all’interno dell’organizzazione e che non può evitarlo nemmeno facendo affidamento ai tradizionali sistemi di autentificazione della posta elettronica.
L’altra peculiarità di questo tipo di e-mail sta nelle logiche persuasive con cui viene costruita: viene sfruttata l’autorità legata allo pseudo-mittente, per indurre il malcapitato ad agire rapidamente e a scoraggiare eventuali verifiche. Alla base dei BEC ci sono sofisticate tecniche di ingegneria sociale volte a incrementare il tasso di incisicità della minaccia.
In questa tipologia di raggiro non sono utilizzati allegati nocivi che possano far scattare un allarme automatico (salvo rare eccezioni), poiché la trappola sta nel corpo del messaggio. Di conseguenza, nella grande maggioranza delle volte le richieste fraudolente riescono a superare anche la più solida linea di sicurezza delle e-mail.
Come difendersi da un BEC?
Il noto sito di sicurezza informatica Kaspersky ha analizzato il fenomeno dei Business E-mail Compromise (BEC) interni all’azienda per delineare le migliori strategie di difesa.
La difficoltà nell’elaborare un piano strutturato funzionante sta nel fatto che la minaccia viene pensate non per attaccare una rete, ma una persona; infatti il criminale, una volta ottenuto l’accesso a un primo account aziendale, non può essere individuato tramite meccanismi di autenticazione e-mail (DKIM, SPF, DMARC) né mediante gli strumenti automatici anti-phishing e antispam standard.
Essendo l’e-mail perfettamente legittima, l’unico vero modo per difendersi è analizzare accuratamente il contenuto e non agire impulsivamente.
Non potendo contare su una strategia davvero chiara, l’arma migliore in questo caso è prestare particolare attenzione ai messaggi che richiedono il trasferimento di dati sensibili. In secondo luogo sarebbe opportuno costituire un secondo livello di verifica, ad esempio semplicemente contattando il collega in questione, ovviamente su un canale differente.