c Giacomo Lanzi

Business email compromise (BEC) schemes

Estimated reading time: 7 minutes

Negli anni, i truffatori hanno rubato milioni di dollari alle imprese compromettendo i loro account di posta ufficiali utilizzandoli per richiedere bonifici fraudolenti. Tecnicamente questi schemi, che sono a tutti gli effetti delle truffe, si chiamano Business Email Compromise.

C’è stato un aumento delle intrusioni informatiche legate agli schemi di Business Email Compromise, che coinvolgono truffatori che si spacciano per dirigenti. Il contatto avviene inviando e-mail di phishing da fonti apparentemente legittime e vengono poi richiesti bonifici a conti fraudolenti. Questi metodi alla fine portano all’intrusione e all’accesso illimitato alle credenziali delle loro vittime.

Cosa si intende per Business Email Compromise?

L’FBI definisce il Business Email Compromise (BEC) come una truffa sofisticata che prende di mira le aziende che lavorano con fornitori stranieri e le aziende che eseguono regolarmente pagamenti tramite bonifico bancario. Precedentemente noti come truffe Man-in-the-Email, questi schemi compromettono gli account email ufficiali delle aziende per condurre trasferimenti di fondi non autorizzati.

Secondo l’FBI, le vittime hanno perso più 750 milioni di dollari e hanno colpito più di 7.000 persone tra ottobre 2013 e agosto 2015. A livello globale, i criminali informatici hanno truffato più di 50 milioni di dollari da vittime in paesi non americani.

Business email compromise email received

Come funziona?

Le truffe BEC spesso iniziano con un aggressore che compromette l’account di posta elettronica di un dirigente d’azienda o una qualsiasi email aziendale elencata pubblicamente. Solitamente questo avviene usando un keylogger o dei metodi di phishing, in cui gli aggressori creano un dominio che è simile a quello aziendale che stanno prendendo di mira. In altri casi, un’email falsificata che inganna il bersaglio a fornire i dettagli dell’account è sufficiente.

Dopo aver monitorato l’account e-mail compromesso, il truffatore cercherà di determinare chi avvia i bonifici e chi li richiede. I truffatori spesso eseguono una discreta quantità di ricerche, cercando una società che ha avuto un cambio di leadership nella dirigenza della funzione finanziaria, in cui i dirigenti sono in viaggio, o conducono conference call per gli investitori. Gli aggressori usano queste come opportunità per eseguire lo schema.

A questo punto, l’attacco si può svolgere in vari modi.

Versione 1: La fattura fasulla

Questa versione, che è stata anche chiamata “The Bogus Invoice Scheme“, “The Supplier Swindle“, e “Invoice Modification Scheme“, di solito coinvolge un’azienda che ha un rapporto stabile con un fornitore. Il truffatore chiede di trasferire i fondi per il pagamento della fattura su un conto alternativo e fraudolento tramite e-mail, telefono o fax.

Versione 2: Frode del CEO

In questa versione, i truffatori si identificano come dirigenti di alto livello (CFO, CEO, CTO, ecc.), avvocati o altri tipi di rappresentanti legali e pretendono di gestire questioni riservate o urgenti e richiedono di effettuare un bonifico bancario su un conto che controllano. In alcuni casi, la richiesta fraudolenta di bonifico è inviata direttamente all’istituto finanziario con le istruzioni di inviare urgentemente i fondi a un altro istituto. Questa truffa è anche conosciuta come “CEO Fraud“, “Business Executive Scam“, “Masquerading“, e “Financial Industry Wire Frauds“.

Versione 3: Compromissione dell’account

Simile alle altre due versioni, un account di posta elettronica di un dipendente viene violato e poi usato per fare richieste di pagamento di fatture a conti bancari controllati dai truffatori. I messaggi sono inviati a più fornitori identificati dalla lista dei contatti del dipendente. L’azienda potrebbe non rendersi conto dello schema fino a quando i loro fornitori non eseguono controlli sullo stato del pagamento della fattura.

Versione 4: Il finto avvocato

In questa versione, il cyber criminale contatta i dipendenti e/o l’amministratore delegato dell’azienda e si identifica come avvocato o rappresentante di uno studio legale, sostenendo di gestire questioni riservate e urgenti. Questo contatto, tipicamente fatto via telefono o e-mail, spinge la parte contattata ad agire rapidamente o segretamente nella gestione del trasferimento di fondi.

Questo tipo di schema di Business Email Compromise può essere programmato per verificarsi alla fine della giornata o della settimana lavorativa, quando i dipendenti si preparano a chiudere e quindi sono particolarmente sensibili a una situazione di emergenza.

Versione 5: Il furto di dati

Questo schema coinvolge email di dipendenti con ruoli specifici nell’azienda utilizzati per inviare richieste. Questa volta, però, le richieste non sono per trasferimenti di fondi ma per informazioni personali identificabili di altri dipendenti e dirigenti. Questa variante può quindi servire come punto di partenza per attacchi BEC più elaborati e dannosi contro l’azienda.

La truffa si basa principalmente sull’ingegneria sociale e in genere non ha bisogno di una sofisticata penetrazione del sistema. A differenza delle truffe di phishing, le e-mail utilizzate nelle truffe BEC non sono inviate in massa per evitare di essere segnalate come spam. Le vittime sono indotte con l’inganno a fare i trasferimenti, di solito istruite ad agire rapidamente e in modo confidenziale durante il trasferimento dei fondi.

Business email compromise phishing

Alcuni casi noti

Nel marzo 2016, un numero crescente di società e imprese hanno subito danni da schemi di BEC. Aziende come Seagate e Snapchat sono state tra le imprese vittime di truffe via email che utilizzano lo stesso modus operandi. Alla fine dello stesso mese, la Pivotal Software, società con sede a San Francisco, è stata violata attraverso uno schema di phishing che ha fatto trapelare un numero imprecisato di informazioni fiscali dei dipendenti.

La violazione è stata avviata da una e-mail che sembrava provenire dal CEO della società Rob Mee, che richiedeva informazioni sul personale della società. Questo ha portato alla consegna delle informazioni W-2 dei dipendenti. Queste informazioni includevano indirizzi, dettagli sul reddito dell’anno precedente, numeri di previdenza sociale e di identificazione del contribuente individuale. Il destinatario dei dati, neanche a dirlo, non era autorizzato a richiedere o ricevere dati di questa natura.

Non molto tempo dopo questo incidente, schemi simili sono stati utilizzati per ottenere informazioni personali nel settore dell’istruzione. Sono trapelate informazioni W-2 di 3.000 dipendenti del Tidewater Community College, in Virginia. L’evento è stato scatenato da un messaggio di richiesta dal preside della Kentucky State University, ricevuto da uno dei membri del personale della scuola. La richiesta ha spinto il personale a trasmettere una lista di dipendenti e studenti insieme alle informazioni W-2.

Le truffe che coinvolgono il furto di informazioni personali tramite e-mail di phishing hanno dimostrato di essere una fonte di dati inesauribile. I dati rubati potrebbero essere venduti ed essere utilizzati anche per mettere in scena futuri attacchi o furti di identità. Come si è visto nelle recenti e precedenti truffe fiscali, le truffe via e-mail sono diventate uno dei metodi più veloci per ingannare gli utenti inconsapevoli.

Business email compromise

Come difendersi?

Il consiglio è sempre il solito: rimanere vigili ed educare i dipendenti su come evitare di essere vittime di truffe BEC e altri attacchi di phishing.

È importante sapere che i criminali informatici non si preoccupano delle dimensioni della vostra azienda. Anzi, solitamente, più vittime ci sono, meglio è. Questo tipo di truffatori non hanno bisogno di essere altamente tecnici in quanto possono trovare strumenti e servizi che soddisfano tutti i livelli di competenza tecnica nel deep web. Dato che il mondo si affida sempre più a servizi in cloud e in generale collegati tra loro, un singolo account compromesso è tutto ciò che può servire per ottenere ingenti quantità di denaro o dati da un’azienda.

Alcuni suggerimenti

  • Esaminare attentamente tutte le e-mail. Diffida delle e-mail inviate dai dirigenti aziendali, in quanto sono spesso utilizzate per ingannare i dipendenti ad agire con urgenza. Esaminare le e-mail che richiedono il trasferimento di fondi per determinare se le richieste sono irregolari.
  • Educare e formare i dipendenti. Mentre i dipendenti sono la più grande risorsa di un’azienda, di solito sono anche l’anello più debole quando si tratta di sicurezza. Impegnatevi a formare i dipendenti secondo le migliori pratiche dell’azienda. Ricorda loro che aderire alle politiche aziendali è una cosa, ma sviluppare buone abitudini di sicurezza è un’altra. Per questo offriamo un servizio di phishing etico orientato proprio all’educazione contro gli schemi Business Email Compromise e il phishing in generale.
  • Rimanete aggiornati sulle abitudini dei clienti, compresi i dettagli e le ragioni dei pagamenti.
  • Se sospetti di essere stato vittima di un’e-mail BEC, segnala immediatamente l’incidente alle forze dell’ordine. Inoltre, allerta la tua azienda così che possa alzare la guardia e stringere i controlli.

SOD può aiutarti a formare i tuoi dipendenti. Scopri come contattandoci, saremo lieti di rispondere a ogni dubbio.

Useful links:

Share


RSS

More Articles…

Categories …

Tags

RSS darkreading

RSS Full Disclosure

  • SEC Consult SA-20231123 :: Uninstall Key Caching in Fortra Digital Guardian Agent Uninstaller November 27, 2023
    Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Nov 27SEC Consult Vulnerability Lab Security Advisory < 20231123-0 > ======================================================================= title: Uninstall Key Caching product: Fortra Digital Guardian Agent Uninstaller (Data Loss Prevention) vulnerable version: Agent:
  • SEC Consult SA-20231122 :: Multiple Vulnerabilities in m-privacy TightGate-Pro November 27, 2023
    Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Nov 27SEC Consult Vulnerability Lab Security Advisory < 20231122-0 > ======================================================================= title: Multiple Vulnerabilities product: m-privacy TightGate-Pro vulnerable version: Rolling Release, servers with the following package versions are vulnerable: tightgatevnc < 4.1.2~1 rsbac-policy-tgpro
  • Senec Inverters Home V1, V2, V3 Home & Hybrid Use of Hard-coded Credentials - CVE-2023-39169 November 27, 2023
    Posted by Phos4Me via Fulldisclosure on Nov 27Sent through the Full Disclosure mailing list https://nmap.org/mailman/listinfo/fulldisclosure Web Archives & RSS: https://seclists.org/fulldisclosure/
  • [SYSS-2023-019] SmartNode SN200 - Unauthenticated OS Command Injection November 27, 2023
    Posted by Maurizio Ruchay via Fulldisclosure on Nov 27Advisory ID: SYSS-2023-019 Product: SmartNode SN200 Analog Telephone Adapter (ATA) & VoIP Gateway Manufacturer: Patton LLC Affected Version(s):
  • CVE-2023-46307 November 27, 2023
    Posted by Kevin on Nov 27running on the remote port specified during setup
  • CVE-2023-46307 November 27, 2023
    Posted by Kevin on Nov 27While conducting a penetration test for a client, they were running an application called etc-browser which is a public GitHub project with a Docker container. While fuzzing the web server spun up with etcd-browser (which can run on any arbitrary port), the application had a Directory Traversal vulnerability that is […]
  • Survey on usage of security advisories November 27, 2023
    Posted by Aurich, Janik on Nov 27Dear list members, we are looking for voluntary participants for our survey, which was developed in the context of a master thesis at the University of Erlangen-Nuremberg. The goal of the survey is to determine potential difficulties that may occur when dealing with security advisories. The focus of the […]
  • [CVE-2023-46386, CVE-2023-46387, CVE-2023-46388, CVE-2023-46389] Multiple vulnerabilities in Loytec products (3) November 27, 2023
    Posted by Chizuru Toyama on Nov 27[+] CVE : CVE-2023-46386, CVE-2023-46387, CVE-2023-46388, CVE-2023-46389 [+] Title : Multiple vulnerabilities in Loytec L-INX Automation Servers [+] Vendor : LOYTEC electronics GmbH [+] Affected Product(s) : LINX-151, Firmware 7.2.4, LINX-212, firmware 6.2.4 [+] Affected Components : L-INX Automation Servers [+] Discovery Date :...
  • [CVE-2023-46383, CVE-2023-46384, CVE-2023-46385] Multiple vulnerabilities in Loytec products (2) November 27, 2023
    Posted by Chizuru Toyama on Nov 27[+] CVE : CVE-2023-46383, CVE-2023-46384, CVE-2023-46385 [+] Title : Multiple vulnerabilities in Loytec LINX Configurator [+] Vendor : LOYTEC electronics GmbH [+] Affected Product(s) : LINX Configurator 7.4.10 [+] Affected Components : LINX Configurator [+] Discovery Date : 01-Sep-2021 [+] Publication date : 03-Nov-2023 [+]...
  • Senec Inverters Home V1, V2, V3 Home & Hybrid Exposure of the Username to an Unauthorized Actor - CVE-2023-39168 November 12, 2023
    Posted by Phos4Me via Fulldisclosure on Nov 12Sent through the Full Disclosure mailing list https://nmap.org/mailman/listinfo/fulldisclosure Web Archives & RSS: https://seclists.org/fulldisclosure/

Customers

Newsletter

{subscription_form_1}