Che cos’è un BEC: Business Email Compromise?
Business Email Compromise (BEC), a volte indicato anche come compromissione dell’account e-mail (EAC) o compromissione e-mail del fornitore (VEC), è un tipo di attacco di phishing che sfrutta una relazione esistente tra una vittima e un’organizzazione.
Queste truffe, che rientrano in quattro tipi di tipi di attacco BEC, come descritto più avanti, in genere non coinvolgono malware o payload eseguibili. Invece, si affidano all’ingegneria sociale per indurre le persone a eseguire transazioni finanziarie.
Sebbene gli attacchi BEC rappresentassero un ingombro minimo (meno del 5% delle e-mail di phishing identificate nell’Area 1), i BEC sono alcuni degli attacchi informatici più costosi.
L’Internet Crime Complaint Center (IC3) dell’FBI negli USA, ad esempio, ha riferito che BEC è costato alle imprese statunitensi più di $ 2 miliardi l’anno scorso – “perdite che queste aziende hanno assorbito nel costo di fare affari ma non avrebbero dovuto fare”.
Ma perché BEC è così difficile da rilevare?
I BEC creano segnali molto bassi che non salgono in cima alla lista di allerta di un difensore e tendono a mimetizzarsi con il solito rumore del traffico della rete aziendale.
Senza una sicurezza e-mail integrata creata per fermare le campagne mirate, gli attacchi BEC possono purtroppo rimanere inosservati fino a quando non causano una reale perdita monetaria. Inoltre, esistono diversi tipi di attacco BEC che eludono diverse tecnologie di sicurezza della posta elettronica.
È importante comprendere i diversi tipi di attacco BEC per guidare la tua strategia di sicurezza della posta elettronica. Sebbene i noti attacchi BEC “Tipo 1” e “Tipo 2” (come le famigerate “truffe con carte regalo” tramite e-mail contraffatte esterne o acquisizioni di account interni) persistano, i BEC “Tipo 3” e “Tipo 4” più mirati possono comprendere campagne “long con” molto più lunghe che sfruttano fornitori e partner della supply chain (e persino implicano la compromissione dei partner dei tuoi partner!).
I quattro tipi di BEC
Quando si analizzano i BEC che minacciano le caselle di posta in arrivo delle organizzazioni, l’Area 1 descrive i tipi di frode di phishing BEC in quattro categorie come segue:
Tipo 1 BEC: Spoofed Executive Sender o Domain
Queste e-mail contraffatte esterne sono truffe abbastanza semplici che utilizzano un dirigente come esca. L’utente malintenzionato falsifica il nome di un CXO e/o il dominio della società di destinazione. Quindi, fingendosi il dirigente, l’aggressore richiede a un dipendente di eseguire una transazione finanziaria come il cablaggio di denaro o l’acquisto di carte regalo.
Tipo 2 BEC: Account dipendente compromesso
Un passo avanti nella sofisticazione, questo tipo di acquisizione di account interni BEC utilizza un dipendente compromesso come esca. Prendendo in consegna l’account di un dipendente reale (in genere attraverso password rubate), l’aggressore si finge il dipendente e chiede a un collega (la vittima) di aiutare a completare una transazione finanziaria.
Tipo 3 BEC: Spoof Impersonating Vendor / Supplier
Simile al primo tipo di BEC, i BEC di tipo 3 falsificano (o rilevano il conto di) un fornitore o un fornitore con una relazione esistente con l’organizzazione di destinazione. Poiché il mittente falsificato è al di fuori dell’organizzazione, le vittime incaute potrebbero non notare i segni rivelatori di una parodia.
Tipo 4 BEC: fornitore compromesso / fornitore infiltrato
Abbiamo visto che il tipo più avanzato di BEC – TIPO 4 BEC o phishing della catena di approvvigionamento – può richiedere mesi per essere eseguito.
Questi attacchi avanzati compromettono innanzitutto un partner o un fornitore della supply chain attraverso una o più acquisizioni di account e-mail.
L’utente malintenzionato osserva silenziosamente i thread di posta elettronica legittimi, quindi si inietta nella conversazione al momento giusto, ruotando le richieste di pagamento su un account controllato dall’utente malintenzionato.
In alcuni di questi attacchi BEC della catena di approvvigionamento, la vittima potrebbe non sapere nemmeno di aver subito perdite finanziarie fino a un audit futuro.
Quattro motivi comuni per cui BEC elude le difese legacy
Una combinazione di caratteristiche consente ai BEC di tutti i tipi di volare sotto il radar di molti sistemi di sicurezza della posta elettronica tradizionali. Ecco quattro motivi in particolare per cui i BEC sono difficili da rilevare:
- I BEC utilizzano l’ingegneria sociale invece del malware
Invece di utilizzare collegamenti o payload dannosi, i BEC sono solitamente brevi messaggi di solo testo. Si basano sulla nostra tendenza a seguire l’etichetta sociale, come dare una mano a un collega, o dinamiche di potere, come soddisfare una richiesta urgente di un dirigente, per indurre le vittime a inviare denaro a conti fraudolenti. - Gli aggressori BEC utilizzano domini
legittimi Gli aggressori sfruttano domini di posta elettronica gratuiti o a basso costo, come Ad esempio Gmail, per inviare e-mail di phishing BEC. È anche economico per un utente malintenzionato acquistare un dominio “simile” legittimo simile al dominio della vittima target. Con la posta elettronica basata su cloud, gli aggressori non hanno nemmeno bisogno di ospitare la propria infrastruttura per queste truffe. - I BEC sono a basso volume ma altamente mirati
Il nostro rapporto sulle minacce e-mail del 2021 ha mostrato che i BEC costituivano solo l’1,3% degli attacchi e una percentuale ancora più piccola del volume totale delle e-mail. Tuttavia, i BEC sono estremamente mirati. Gli aggressori ricercano obiettivi e destinatari previsti per creare messaggi che appaiano personali e legittimi. - I tuoi fornitori / fornitori di fiducia non sanno quando sono stati compromessi
Negli attacchi BEC che sfruttano le acquisizioni di account, la vittima target e il loro partner della supply chain (fidato ma compromesso) in genere non sanno che gli account sono stati compromessi. In questi attacchi, la maggior parte dei messaggi in un thread di conversazione sono benigni.
Il destinatario (in questo caso il tuo fornitore e altri partner della catena di approvvigionamento) potrebbe diventare sospettoso solo quando l’utente malintenzionato dirotta sottilmente il thread per deviare il pagamento.
Questo può essere facilmente perso sia dagli esseri umani che dai sistemi di sicurezza e-mail convenzionali.