Gli attacchi Business E-mail Compromise (BEC) sfruttano il principale denominatore comune presente in ogni tecnologia, strumento e processo: gli esseri umani che interagiscono con esso. Sfruttando le abitudini e le emozioni del processo decisionale umano, il BEC è rimasto uno dei metodi di attacco più redditizi visti nel panorama odierno delle minacce informatiche.
A maggio, l'FBI ha emesso un avviso pubblico contro gli schemi BEC, che hanno descritto come uno dei crimini online più dannosi dal punto di vista finanziario, che sfrutta il fatto che la comunicazione via e-mail rimane uno strumento costante per le aziende moderne. In effetti, report recenti mostrano che il mercato del BEC dovrebbe crescere da un valore di 1,1 miliardi di dollari nel 2022 a circa 2,8 miliardi di dollari entro il 2027.
Gli attacchi BEC si sono evoluti negli ultimi anni per sfruttare nuove vulnerabilità e aggirare le tradizionali misure di sicurezza.
In questo post, SentinelOne descrive come questi attacchi basati su e-mail si sono evoluti negli ultimi due decenni per adattarsi alle mutevoli soluzioni di sicurezza, le ultime tattiche e tecniche utilizzate dai criminali informatici nelle attuali truffe BEC e i modi per proteggersi da loro a lungo termine.
Come si è Evoluto l’Attacco BEC
All'inizio degli anni 2000, il mondo ha visto prendere forma alcune delle prime fasi delle truffe BEC. Anche se allora il termine "BEC" poteva non essere stato coniato, gli elementi fondamentali di questi attacchi erano già in atto. I primi esempi di tattiche di ingegneria sociale utilizzate nelle e-mail includono:
- La truffa del Principe Nigeriano - Una delle prime e più note forme di attacchi BEC è il "principe nigeriano" o "truffa 419". È iniziato già negli anni '80 tramite posta ordinaria, ma è passato all'e-mail all'inizio degli anni 2000.
I truffatori affermavano di essere principi o funzionari governativi nigeriani in cerca di assistenza per trasferire una grossa somma di denaro fuori dal loro paese. Promettevano di condividere la fortuna con il destinatario in cambio di una piccola tassa per coprire i costi legali o amministrativi. Questa classica truffa ha sfruttato l'avidità e la volontà delle persone di credere in improbabili guadagni inaspettati.
- Truffe relative alla lotteria e all'eredità - Simili alla truffa del principe nigeriano, queste prime forme di attacchi BEC prevedevano e-mail che informavano i destinatari che avevano vinto una lotteria o ereditato una grossa somma di denaro da un lontano parente. Per richiedere il premio o l'eredità, alle vittime è stato chiesto di fornire informazioni personali o di pagare una quota in anticipo, con conseguenti furti di identità e perdite finanziarie.
- Truffe con pagamenti in eccesso - In questi attacchi, i truffatori si presentavano come potenziali clienti o clienti e contattavano le aziende in merito all'acquisto dei loro prodotti o servizi. Quindi inviavano un assegno o effettuavano un pagamento per un importo superiore al prezzo concordato e richiedevano il rimborso dell'eccedenza. Il pagamento iniziale veniva successivamente annullato.
- Furto d'identità di dirigenti - I primi casi di furto d'identità di dirigenti riguardavano truffatori che fingevano di essere dirigenti di alto rango o partner commerciali all'interno di un'organizzazione. Dicevano ai dipendenti di svolgere determinati compiti, come il trasferimento di fondi o la condivisione di informazioni sensibili, con il pretesto di riservatezza o urgenza.
Le prime truffe BEC erano relativamente semplici e non richiedevano tecniche sofisticate da parte dei criminali informatici per raggiungere l’obiettivo. Vedendo quanto fossero redditizie queste truffe e con quanta facilità potessero essere adattate a obiettivi mirati di alto profilo, gli attacchi BEC si sono presto estesi per colpire ogni settore verticale.
Secondo l'IC3, la frode BEC ora costa alle aziende globali poco più di 50 miliardi di dollari. L'IC3 ha anche classificato la minaccia di BEC come una delle principali categorie di criminalità informatica per perdite finanziarie.
Le macro tendenze socio-economiche hanno anche favorito un ambiente in cui prosperano le moderne truffe BEC. Dalla pandemia di COVID-19, più luoghi di lavoro e individui conducono la propria attività virtualmente, creando ulteriori vie di attacco per i truffatori BEC. L'aumento dell'uso della criptovaluta ora svolge anche un ruolo nel BEC, in particolare nelle truffe sugli investimenti.
In questo momento, gli esperti affermano che il numero di e-mail inviate al giorno dovrebbe aumentare fino a oltre 370 miliardi entro il 2025. Sia che vengano utilizzate per comunicazioni personali e aziendali o per supportare massicce industrie di e-commerce ed e-marketing, le e-mail sono obiettivi ben definiti nelle campagne malware, negli attacchi Advanced Persistent Threat (APT), attacchi di phishing, furto di identità e altro ancora.
Principali Trend negli Attacchi BEC
Il mondo di oggi è saturo di connessione con miliardi di dispositivi connessi a Internet che collegano tutti e tutto insieme a 24 ore su 24. Considerando la collaborazione globale, i dispositivi mobile intelligenti e l'accessibilità fornita dalle tecnologie cloud, le e-mail sono ancora l'unico modo semplice per raggiungere molti contemporaneamente, rendendo gli attacchi BEC più rilevanti che mai.
Con l'avanzare della tecnologia, anche i truffatori BEC hanno promosso il loro mestiere. Molte truffe BEC sono ora molto più sofisticate, comportano attacchi in più fasi e uso improprio dell'intelligenza artificiale (IA) e del machine learning (ML) oltre a prendere di mira settori di una certa rilevanza come fornitori, grandi banche ed enti governativi. Questa sezione esplora alcune delle principali tendenze riscontrate nei recenti attacchi BEC per i quali le aziende devono stare all'erta.
Attacchi BEC e AiTM Multi-Stage
I professionisti della sicurezza stanno vedendo attacchi di phishing multifase, adversary-in-the-middle (AiTM) e BEC (Business Email Compromise) contro istituti finanziari e grandi banche. In questi tipi di campagne, i criminali informatici cercano di sfruttare le relazioni di fiducia tra le organizzazioni partner per aggirare le misure di autenticazione a più fattori (MFA).
Attacchi come questi presentano una complessa combinazione di tattiche AiTM e BEC per abusare del rapporto tra venditori, fornitori e partner aziendali al fine di commettere frodi finanziarie. Dopo aver utilizzato il phishing AiTM per aggirare i meccanismi MFA, i criminali informatici si connettono e prendono il controllo dell'account della loro vittima, reimpostando i metodi di autenticazione sui dispositivi sotto il loro controllo e creando nuove regole per inviare e-mail dannose al livello successivo di vittime nella catena di attacco.
Lo Sfruttamento dei Tool IA Black Hat negli Attacchi BEC
Dopo un drammatico ingresso alla fine del 2022, ChatGPT e altri strumenti di intelligenza artificiale generativa sono ora utilizzati in modo improprio dai criminali informatici per creare contenuti contraffatti ottimizzati per e-mail e siti dannosi.
Più di recente, uno strumento di intelligenza artificiale generativa black hat chiamato WormGPT ha attirato l'attenzione degli aggressori informatici che lo utilizzano per rendere le loro e-mail false più convincenti, personalizzate per la vittima designata e prive di errori; tutto per ridurre la probabilità di essere contrassegnati come sospetti.
Sebbene aziende come OpenAI abbiano rigide dichiarazioni di non responsabilità contro l'uso del loro software per azioni illegali, gli hacker stanno eseguendo il jailbreak dei modelli linguistici per aggirare le regole di sicurezza.
Nel caso di WormGPT, questo strumento è stato progettato specificamente per attività dannose ed è stato visto per la prima volta circolare nei forum darknet. Tali strumenti di intelligenza artificiale spin-off stanno rendendo gli attacchi BEC più accessibili abbassando la soglia di ingresso a uno spettro più ampio di criminali informatici.
Attacchi BEC basati su Crittografia "Second Hop"
Esistono due varianti delle truffe BEC che coinvolgono la criptovaluta: trasferimenti diretti a uno scambio di criptovalute (CE) simile ai modelli BEC tradizionali e trasferimenti "second hop". In quest'ultimo, le vittime vengono colpite con tattiche di ingegneria sociale per rinunciare a informazioni personali identificabili (PII).
I criminali informatici utilizzano quindi le informazioni rubate per aprire nuovi portafogli di criptovaluta a nome della vittima e quindi procedono a reindirizzare il denaro e incassare. In entrambe le varianti, le vittime non sanno che i fondi inviati vengono convertiti in criptovaluta.
Evitare Flag di "Impossible Travel" con Indirizzi IP Locali
Per aumentare le possibilità di successo di un'intrusione basata su e-mail, i criminali informatici tentano di aggirare i flag di "impossible travel" acquistando indirizzi IP che corrispondono alle posizioni delle loro vittime.
Tali flag sono meccanismi di sicurezza che rilevano e avvisano quando si accede all'account di un utente da due diverse posizioni geografiche entro un breve periodo, che è visto come un indicatore chiave di accesso non autorizzato. Utilizzando questa tattica, gli attori delle minacce sono in grado di evitare il rilevamento e creare più facilmente backdoor nel sistema compromesso.
Campagne BEC Durante le Ferie Estive
Una nuova ricerca ha fatto luce sul rapido aumento degli attacchi BEC in tutta Europa, dimostrando che le organizzazioni europee registravano un volume e una frequenza maggiori di tali attacchi rispetto alle loro controparti statunitensi.
Tra giugno 2022 e maggio 2023, i ricercatori hanno scoperto che le organizzazioni europee sono state attaccate in media 10 volte ogni 1000 caselle di posta, e in particolare nel mese di agosto, quando la maggior parte degli europei tende a programmare le ferie annuali.
Sfruttando questa differenza culturale nelle preferenze di vacanza, si è scoperto che i criminali informatici concentrano i loro sforzi sulle imprese europee che operano con personale inferiore al solito.
Data l'elevata concentrazione di dipendenti in ferie, gli aggressori possono aumentare le possibilità di successo dell’attacco approfittando delle persone lontane dai loro computer e di coloro che sono probabilmente più distratti durante il mese "più calmo".
Gli Attacchi BEC si stanno Estendendo alle Piattaforme Tradizionali
I criminali che sfruttano attacchi BEC espandono le loro tattiche oltre le piattaforme convenzionali approfittando del passaggio al lavoro a distanza durante e dopo la pandemia. Infatti, anche le piattaforme di riunioni virtuali sono diventate un nuovo terreno di attacco.
In primo luogo, l'aggressore ottiene l'accesso all'account di posta elettronica di un dirigente senior, in genere un C-suite o un membro del consiglio di amministrazione, e lo utilizza per organizzare riunioni virtuali con i dipendenti.
Durante l'incontro, il truffatore mostra un'immagine statica del leader senior o utilizza un audio finto profondo per segnalare difficoltà tecniche. Infine, il truffatore ordina ai dipendenti di trasferire fondi su conti bancari fraudolenti.
In che Modo XDR Protegge la Tua Azienda dagli Attacchi BEC
Le aziende spesso implementano soluzioni di sicurezza personalizzate per proteggere la posta elettronica, causando lacune di visibilità e una comprensione incompleta dei rischi. In tali casi, l'intervento manuale per affrontare le e-mail sospette diventa non solo dispendioso in termini di tempo, ma anche vantaggioso per i criminali informatici.
È qui che entra in gioco XDR (Extended Detection and Response) di SentinelOne. A differenza delle soluzioni isolate, XDR, se abbinato alla sicurezza della posta elettronica, offre rilevamento e risposta completi alle minacce. Non si concentra solo sull'attività degli endpoint, ma approfondisce il contesto della consegna del malware.
Le soluzioni XDR individuano attività sospette sulle superfici di attacco e forniscono report dettagliati sugli incidenti. L'integrazione con la sicurezza della posta elettronica consente una migliore comprensione dei vettori di attacco e dei potenziali attori delle minacce e risposte più rapide e automatizzate agli account utente compromessi.
In Conclusione
Il costante aumento degli attacchi BEC negli ultimi anni evidenzia l'evoluzione delle tecniche dei criminali informatici e la necessità per le aziende di rimanere vigili nella salvaguardia delle proprie risorse e informazioni sensibili.
Poiché questi attacchi continuano a crescere, è essenziale che le organizzazioni comprendano le tattiche in evoluzione utilizzate e le potenziali vulnerabilità all'interno delle loro piattaforme di posta elettronica.
Dato il panorama delle minacce in continua evoluzione, le aziende guardano oltre la semplice implementazione di misure difensive come l'autenticazione a più fattori, i protocolli di autenticazione e-mail, i gateway e-mail sicuri e le policy per password complesse. È qui che le capacità XDR emergono come parte fondamentale di una strategia informatica più forte.
Man mano che le aziende affrontano minacce in continua evoluzione, l'adozione di una strategia di sicurezza multidimensionale che combini solide misure preventive con funzionalità XDR diventa fondamentale.
Per saperne di più su come Singularity XDR di SentinelOne è in grado di fornire alle aziende una strategia efficace contro i rischi BEC sempre più sofisticati invia una mail a cio@florence-consulting.i o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo, in alternativa puoi compilare il form sottostante con la tua domanda.