Attacchi BEC: come proteggere l’azienda dalla truffa Business Email Compromise - Cyber Security 360

TRUFFE ONLINE

Attacchi BEC: come proteggere l’azienda dalla truffa Business Email Compromise

Con l’aumentare del lavoro da remoto, i cyber criminali hanno perfezionato le truffe di tipo BEC, Business Email Compromise, per colpire manager e decision-maker aziendali (ma non solo) con attacchi sempre più mirati e incisivi. Ecco come difendersi usando il sistema di autenticazione DMARC

08 Mar 2021
I
Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder

Fra le campagne di criminal hacking più diffuse negli ultimi tempi, ce n’è una tipologia che mette nel mirino gli account e-mail di manager o decision-maker aziendali con attacchi che sfruttano la tecnica nota come BEC, acronimo di Business Email Compromise.

Ovviamente, gli obiettivi di questi schemi non sono necessariamente figure aziendali, essendosi registrati attacchi di questo tipo anche a no profit, enti governativi e organizzazioni intermedie.

I rischi derivanti dagli attacchi BEC sono perdite rilevanti di dati, violazione dei sistemi di sicurezza informatici e danni economici.

Come colpiscono gli attacchi BEC

Negli ultimi mesi sono stati rilevati casi di BEC che includevano attacchi sofisticati di social engineering con elementi di phishing, fatture contraffatte ed e-mail spoofing.

Non va poi dimenticata la circostanza, detta CEO fraud, in cui l’aggressore si finge una figura di rilievo all’interno dell’azienda per autorizzare pagamenti o altre operazioni complesse. Lo scopo è ottenere la fiducia del destinatario per arrivare al proprio obiettivo.

Nel febbraio 2021, per esempio, è stata rilevata l’attività della cyber gang russa Cosmic Lynx che ha innovato l’approccio al BEC. Il gruppo in questione era già stato collegato a più di 200 campagne BEC a partire da luglio 2019, con obiettivi residenti in oltre 46 Paesi a livello internazionale, concentrandosi però su grandi aziende con presenza globale.

Tramite la redazione di e-mail estremamente curate, i cyber criminali rendono difficile la distinzione fra falso e vero anche a persone preparate. Ora, con l’ampia estensione del lavoro da remoto, i cyber criminali hanno adattato il proprio approccio per approfittare della situazione.

In che modo? Ad esempio, inviando e-mail fraudolente con una finta notifica proveniente da una piattaforma per videoconferenze, come Zoom. L’obiettivo in questo caso è sottrarre le credenziali di accesso per rubare dati sensibili alle aziende in cui lavora l’obiettivo.

Attacchi BEC: un fenomeno in ascesa

Appare chiaro quanto le offensive BEC stiano rapidamente riaffiorando, soprattutto recentemente, con threat actor in grado di sviluppare approcci sempre più sofisticati e innovativi per applicare questa truffa. Il BEC ha colpito almeno una volta il 70% delle organizzazioni di tutto il mondo, portando a perdite di miliardi di dollari su base annuale.

Ecco perché si stanno sviluppando protocolli di autenticazione e-mail come DMARC per offrire un livello di protezione superiore.

Cos’è l’autenticazione delle e-mail

In sintesi, parlando di autenticazione delle e-mail ci si può riferire a una serie di tecniche applicate per fornire informazioni verificabili sulle origini di un messaggio di posta elettronica, attraverso l’autenticazione del dominio degli agenti coinvolti nell’invio, nel trasferimento e nella ricezione del messaggio.

Il Simple Mail Transfer Protocol (SMTP), lo standard del settore per il trasferimento via e-mail, non ha alcuna funzionalità integrata per l’autenticazione dei messaggi. Ecco perché è molto semplice sfruttare la mancanza di sicurezza da parte di cybercriminali specializzati in phishing via email e domain spoofing.

Come implementare il protocollo DMARC

Il sistema di autenticazione DMARC va configurato per il proprio dominio. Si tratta, infatti, di domain-based message authentication, reporting, and conformance (DMARC). Vengono cioè utilizzati gli standard di autenticazione SPF e DKIM per convalidare le email inviate dal tuo dominio.

Viene specificato ai server destinatari come rispondere a e-mail che non passano questi controlli di autenticazione, dando al proprietario del dominio il controllo sulla risposta del destinatario.

Per questa ragione, al fine di implementare DMARC, è necessario:

  • che tutte le fonti e-mail valide provenienti dal nostro dominio siano autorizzate;
  • pubblicare un record SPF sul DNS di riferimento per la configurazione;
  • pubblicare un record DKIM sul DNS di riferimento per la configurazione;
  • fare lo stesso step indicato sopra per il record DMARC.

Impostazioni del sistema DMARC

A seconda delle proprie necessità, il protocollo DMARC può essere impostato su soli compiti di monitoraggio, ovvero i messaggi che non passano il processo di autenticazione verranno comunque consegnati; su modalità quarantena, ovvero i messaggi non autenticati verranno posti in stato di quarantena; rifiuto, ovvero i messaggi che non passeranno il processo di autenticazione non verranno consegnati.

Solitamente si consiglia di iniziare a usare DMARC con impostazioni di solo monitoraggio per non interrompere il normale flusso comunicativo.

Tali impostazioni, però, non forniscono alcun tipo di contromisura contro le truffe BEC.

Ecco perché è necessario implementare anche l’enforcement DMARC, ovvero un protocollo che sappia reagire in maniera intelligente a seguito del rilevamento di messaggi che non rispettano i valori impostati per l’autenticazione.

A tal scopo sono disponibili diversi programmi che vanno valutati e implementati sulla base delle necessità aziendali od organizzative.

Altre soluzioni per difendersi dagli attacchi BEC

Oltre all’applicazione del protocollo DMARC, in grado di minimizzare i rischi legati agli attacchi BEC, è possibile andare oltre. In quali direzioni?

Con meccanismi di monitoraggio e reporting automatizzati per un controllo costante del flusso di comunicazione via e-mail, in modo da reagire rapidamente in caso di problemi.

Inoltre, è bene ricordare che il protocollo DMARC è utile, se non necessario, anche nei casi in cui sia già stato installato un filtro antispam o sia presente un security gateway. Si tratta di servizi aggiuntivi solitamente forniti come extra dal proprio provider e-mail, che però posso offrire protezione solo verso offensive di phishing.

Da ultimo, naturalmente, queste misure tecniche vanno assolutamente affiancate ad un percorso mirato di formazione e awareness che vada comunque ad agire sul fattore umano.

Non dobbiamo mai dimenticarci che la cyber security funziona correttamente solo quando le misure tecniche sono regolarmente affiancate da quelle che si prendono cura dello human factor.

Non abbassiamo la guardia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5