I criminali informatici hanno spostato l’attenzione dalle infrastrutture alle persone, al punto che oltre il 99% dei cyber attacchi odierni si fondano sull’interazione umana. Negli ultimi anni, sfruttando il massiccio passaggio al lavoro ibrido, la scarsa consapevolezza individuale in materia di sicurezza e il minore controllo esercitato a distanza dai team IT, gli attacchi hanno preso di mira i dipendenti più vulnerabili che hanno inavvertitamente compromesso i propri dati a tutto vantaggio dei cyber criminali.
Parallelamente, si registra un incremento costante degli attacchi di social engineering che inducono gli utenti ad aprire documenti infetti, a cliccare su link dannosi, a inserire le loro credenziali o anche a eseguire direttamente operazioni come il trasferimento di denaro.
In ogni caso, che si tratti di ransomware, phishing o Business Email Compromise (BEC), il minimo denominatore comune è rappresentato dalle persone.
Il tema riguarda tutte le organizzazioni, indipendentemente dalla loro collocazione geografica. In base ai dati raccolti dalla ricerca Proofpoint Voice of the CISO 2021, il 64% dei CISO italiani intervistati si sente a rischio di attacco, con le campagne di Business Email Compromise sul podio, al terzo posto (31%) dopo Cloud Account Compromise (37%) e attacchi DDoS (35%).
La distanza tra la consapevolezza del rischio informatico e la preparazione a difendersi è preoccupante, ma tutt’altro che incomprensibile se consideriamo che le organizzazioni moderne devono affrontare un ampio ventaglio di potenziali minacce, con i cyber criminali che continuano a impiegare tutti i mezzi a disposizione, vecchi e nuovi.
Secondo lo stesso report, il 50% dei CISO italiani (e ben il 58% a livello globale) ritiene l’errore umano la fonte principale di pericolo informatico per l’azienda, considerando che la consapevolezza degli utenti non sempre dà vita a un cambiamento comportamentale ed elencando tra i maggiori fattori di rischio password non sicure (non cambiate o riutilizzate), fuga di dati intenzionale ed email di phishing.
Indice degli argomenti
Business Email Compromise, la minaccia più costosa
Tuttavia, quando si tratta di costi finanziari diretti, la compromissione della posta elettronica aziendale lascia in ombra tutte le altre minacce. Nel 2020, questo tipo di attacco è costato alle aziende oltre 1,8 miliardi di dollari, rappresentando la metà di tutte le perdite causate dal cyber crimine.
Gli attacchi BEC vengono spesso fraintesi, mal classificati e confusi con altre minacce, rendendo difficile comprendere la reale portata del problema e ostacolando le strategie di difesa messe in atto per proteggere le proprie organizzazioni.
Il termine BEC non dovrebbe essere usato come indicazione generale per una serie di minacce email, con ogni attacco che comporta un livello di inganno. Sono numerose le tecniche utilizzate dai cybercriminali, dalla compromissione di account email legittimi allo spoofing dei domini di fornitori e altre terze parti, per impossessarsi di indirizzi email che vengono poi utilizzati per impersonare contatti fidati e chiedere ai dipendenti di compiere una determinata azione.
Così come sono diversi gli obiettivi posti in questi attacchi. Il principale prevede spesso un ritorno finanziario – che può anche essere molto consistente – ma il BEC è sfruttato anche per distribuire malware che infetti i sistemi, in modo da destabilizzare aziende e organizzazioni e compromettere le attività interne, come nel caso recente individuato Proofpoint in cui veniva utilizzato un account email di un membro del servizio armato ucraino probabilmente compromesso per colpire il personale del governo europeo coinvolto nella gestione della logistica dei rifugiati in fuga dall’Ucraina.
I cyber criminali mettono in campo tutta la loro creatività
I metodi più usati per trarre in inganno gli utenti comprendono numerose tematiche ed esche, per convincerli ad agire.
Il metodo delle false fatture
La prima è la frode su false fatture, quando viene richiesto un pagamento per qualcosa che l’azienda in realtà non ha acquistato o viene reindirizzato un pagamento legittimo a favore dei criminali informatici.
I due metodi standard utilizzati prevedono la falsificazione dell’indirizzo email di un fornitore per richiedere il pagamento di fondi, o la compromissione di un account legittimo del fornitore, modificando le informazioni di pagamento. In alcuni casi, i truffatori intercetteranno anche gli scambi di email legittimi tra un’organizzazione e un fornitore proprio per sfruttare una conversazione già attiva.
Il metodo della deviazione delle buste paga
Segue la tecnica della deviazione delle buste paga, una delle più semplici ed efficaci, che consiste nell’ingannare un’organizzazione facendole reindirizzare gli stipendi dei dipendenti sul conto dell’attaccante e secondo l’FBI, la perdita media per singolo attacco ammonta a 7.904 dollari.
La frode del pagamento anticipato
La frode del pagamento anticipato è invece uno dei più vecchi tipi di truffa via email e hanno avuto iterazioni piuttosto stravaganti negli ultimi anni, con conseguenze però tutt’altro che divertenti.
In questo caso, l’attore della minaccia chiede alla potenziale vittima una piccola somma di denaro iniziale – come anticipo su un pagamento più ingente che seguirà – presentato come aiuto per sbloccare una vincita molto più significativa, spesso rivendicata come eredità o vincita alla lotteria.
Le email come esche
Chiude la carrellata di metodi di BEC l’utilizzo di esche email per attirare l’attenzione della potenziale vittima e valutare la sua propensione a essere truffata.
In questo caso le email vengono per lo più inviate da domini spoofed – con gli autori che si spacciano per un contatto fidato del destinatario – e sono di solito brevi e dirette: “Sei disponibile?”, “Ho bisogno di un favore veloce”. Se il destinatario risponde in modo disponibile, suggerendo di aver “abboccato” all’esca, con ogni probabilità gli verrà richiesto denaro con la scusa di un’emergenza o situazione legata al momento attuale.
Questi attacchi sono tra i più difficili da rilevare e da cui difendersi. Sono progettati per insinuarsi subdolamente nel nostro lavoro quotidiano e spesso serve molto tempo per individuarli, con la truffa purtroppo già in atto.
Per questo motivo, è necessario superare i tradizionali strumenti di sicurezza focalizzati sul perimetro e i gateway e rafforzare la protezione del patrimonio di ogni azienda, le persone.
La migliore strategia di difesa
Come definire una strategia di sicurezza efficace? Mettendo in atto controlli per monitorare l’accesso alla rete, autenticando i domini e segnalando ogni attività sospetta, abbinando una protezione completa della posta elettronica progettata per analizzare e filtrare i messaggi pericolosi prima che raggiungano la casella di posta. Fondamentale stabilire anche processi per verificare eventuali modifiche alle transazioni finanziarie, con richieste verificate attraverso più fattori e mai solo via email.
L’elemento sempre più essenziale è la consapevolezza della sicurezza dei dipendenti, che devono essere in grado di conoscere e comprendere le minacce a cui potrebbero andare incontro e sapere come rispondervi.
Questo significa implementare un programma di formazione completo, continuo e adattivo, focalizzato su metodi, tecniche e modalità di reazione, al fine di ridurre le probabilità che i lavoratori diventino vittime di attacco.
Con gli strumenti e la formazione adeguati, i dipendenti potranno diventare una solida ed efficace ultima linea di difesa non solo contro gli attacchi BEC in costante crescita, ma contro ogni tipologia di azione cyber criminale.
