Attacchi BEC interni: come gestirli e perché sono pericolosi
Negli ultimi anni gli attacchi di Business E-mail Compromise (BEC) sono diventati sempre più frequenti. Il loro obiettivo è quello di compromettere la corrispondenza commerciale, allo scopo di commettere truffe economiche, ottenere informazioni riservate o danneggiare la reputazione di un’azienda. Di fronte a queste minacce Kaspersky offre un approfondimento sul tipo più pericoloso di attacco BEC: quello interno.
Gli attacchi BEC interni si differenziano da altri scenari di attacco in quanto le e-mail dannose vengono inviate da indirizzi legittimi all’interno di un’azienda. In altre parole, per portare a termine un attacco interno, il cybercriminale deve aver ottenuto l’accesso all’account di posta elettronica di un dipendente. Ciò significa che, per evitarlo, non è possibile fare affidamento su meccanismi di autenticazione e-mail (DKIM, SPF, DMARC), né sugli strumenti automatici anti-phishing e antispam standard, che cercano incoerenze negli header tecnici o nell’alterazione degli indirizzi.
Di solito un messaggio proveniente da una casella posta elettronica compromessa contiene una richiesta di trasferimento di denaro (a un fornitore, un consulente, un ufficio delle tasse) o l’invio di informazioni riservate. Il tutto perfezionato da trucchi di ingegneria sociale piuttosto standard. I cybercriminali cercano di mettere fretta al destinatario (“se non verrà pagata la fattura entro oggi, l’azienda verrà multata!”), minacciano (“ho richiesto il pagamento il mese scorso, che cosa state aspettando?!), adottano un tono autoritario che non tollera ritardi o usano altri stratagemmi tratti dal manuale di ingegneria sociale. Con l’aiuto di un indirizzo e-mail legittimo, i cybercriminali riescono a creare una situazione molto convincente.
Gli attacchi BEC interni possono anche diffondere e-mail con link a siti falsificati, dove l’URL differisce di una o due lettere dall’indirizzo dell’azienda di destinazione o da un’altra pagina di fiducia (ad esempio una “i” maiuscola invece di una “L” minuscola, o viceversa). Sul sito si potrebbe trovare un modulo di pagamento o un questionario che richiede informazioni riservate. Immaginate di ricevere un’e-mail come questa dall’indirizzo del vostro capo: “Abbiamo deciso di inviarla alla conferenza. Prenoti il biglietto dal nostro account al più presto, in modo da poter ottenere uno sconto”. Segue un link che assomiglia al sito dell’evento più importante del vostro settore, il che ha senso. Quali sono le probabilità che vi prendiate il tempo di studiare attentamente ogni lettera del nome della conferenza se tutto, fino alla firma dell’e-mail, sembra essere in ordine?
Tecnicamente, l’e-mail è perfettamente legittima, quindi l’unico modo per capire se c’è qualcosa che non va è giudicarne il contenuto. Analizzando molti messaggi attraverso algoritmi di machine learning, è possibile identificare tratti che, nel complesso, possono aiutare a determinare se un messaggio è reale o fa parte di un attacco BEC.
Fortunatamente (o forse no), i campioni non mancano. Kaspersky raccoglie ogni giorno milioni di messaggi di spam in tutto il mondo. Essi includono un numero considerevole di e-mail di phishing (che non sono attacchi BEC interni, naturalmente, ma utilizzano gli stessi trucchi e hanno gli stessi obiettivi, in modo da poterli utilizzare per l’apprendimento automatico).
Per cominciare, Kaspersky addestra un classificatore sottoponendo un grande volume di campioni per identificare i messaggi che contengono segnali di truffa. La fase successiva del processo di apprendimento automatico opera direttamente sul testo. Gli algoritmi scelgono i termini per individuare i messaggi sospetti, sulla base dei quali si sviluppano regole euristiche che i nostri prodotti possono utilizzare per identificare gli attacchi. Nel processo è coinvolto un intero sistema di classificatori con apprendimento automatico.
Tuttavia, una tecnologia di questo tipo non permette di dormire sugli allori e di abbassare la guardia, anche perché, se ha ottenuto l’accesso all’account di posta elettronica di un dipendente, un cybercriminale può studiarne lo stile e cercare di imitarlo durante un attacco su misura. Essere sempre vigili rimane comunque un’arma fondamentale.
Kaspersky consiglia di esaminare sempre con attenzione i messaggi che richiedono un trasferimento di denaro o la divulgazione di dati riservati. Aggiungete un ulteriore livello di verifica telefonando o messaggiando (con un servizio di fiducia) il collega in questione o parlandogli di persona per chiarire i dettagli.