Le truffe Business Email Compromise (BEC) sono in circolazione da anni, probabilmente da prima che, nel 2013, l’FBI le classificasse come tali.
Colpiscono organizzazioni e privati e, stando al censimento fatto dal Federal Bureau of Investigation sulla scorta delle denunce note, gli attacchi BEC hanno causato danni per 55 miliardi di dollari in poco più di un decennio (47 miliardi di euro).
Uno studio prodotto da ricercatori del Department of Computer Science, della Shaqra University (Riyadh, Arabia Saudita) e della School of Electronics and Computer Science dell’Università di Southampton (Regno Unito), certifica che le truffe BEC continuano a essere minacce di rilievo sul piano finanziario, riuscendo a causare danni globali che – nel periodo dal 2021 e i primi tre mesi del 2023 – sono stati calcolati in oltre 8 miliardi di dollari (almeno 6,85 miliardi di euro).
Non hanno confini e si estendono anche in Italia, come insegna il caso della truffa BEC a scapito della onlus Opera Santa Maria del Fiore, costato 1,7 milioni di euro.
Ci sono diversi metodi per riconoscere e mitigare gli attacchi BEC, tutti accomunati dalla necessità di formazione degli utenti.
Indice degli argomenti
Come funziona un attacco BEC
A differenza del phishing e delle sue tante forme, il BEC non fa leva su allegati malevoli e non instrada gli utenti verso risorse web truffaldine ma sfrutta la manipolazione psicologica e si insinua nella fallacità delle procedure e dei processi aziendali.
Nella sua formula più matura, un attacco BEC funziona come un’operazione di ingegneria sociale mirata che sfrutta la fiducia interna ai processi aziendali più di quanto sfrutti vulnerabilità tecniche.
L’attaccante inizia con una fase di ricognizione approfondita, durante la quale analizza informazioni pubbliche e semi‑pubbliche per ricostruire la struttura gerarchica dell’azienda, le responsabilità finanziarie, le abitudini comunicative dei dirigenti e i rapporti con fornitori strategici.
Questa fase, basata su OSINT e su un’osservazione attenta dei flussi comunicativi, serve a costruire un contesto credibile in cui inserire la futura manipolazione.
Il termine OSINT, acronimo di Open source intelligence, descrive la raccolta e l’analisi di dati provenienti da fonti pubbliche ovvero, in altri termini, ottenibili senza particolari forzature o violazioni.
Tali fonti possono essere registri governativi, notizie pubblicate sui media, contenuti pubblicati sui social network ma anche le informazioni che chiunque può evincere, riguardo un’azienda o una persona, consultando un qualsiasi motore di ricerca.
In seguito, dopo avere individuato il bersaglio, l’attaccante procede compromettendo un account email aziendale oppure impersonificandolo. Attività affini ma diverse nel modo di procedere: nel primo caso, il cyber criminale ottiene l’accesso all’account email tramite phishing mirato, credential stuffing o malware e prende possesso delle mailbox, osservando ogni conversazione e scegliere il momento migliore per inserirsi nel filone comunicativo passando inosservato.
Nel secondo caso, l’attaccante registra domini quasi identici a quelli dell’entità (azienda o privato) di cui vuole assumere le sembianze digitali, sfruttando debolezze nei controlli SPF, DKIM e DMARC, e scrive email che imitano tono, stile e tempi di risposta del mittente legittimo.
Poi è la volta del passaggio cardine: l’attaccante si inserisce in una conversazione o ne crea una che sembra essere la continuazione di uno scambio di email già in essere.
Il criminale sfrutta una delle leve tipiche di ogni truffa, ossia urgenza, riservatezza o autorità del ruolo per indurre la vittima a modificare coordinate bancarie, eseguire bonifici oppure condividere dati sensibili che potrebbero essere usati in un secondo momento.
Infatti, l’FBI sottolinea che il BEC non è limitato alle frodi finanziarie, ma include anche la sottrazione qualsiasi dato utile ad alimentare attacchi successivi.
Come riconoscere un attacco BEC
Riconoscere un attacco BEC significa sapere leggere segnali che, presi singolarmente, possono sembrare innocui e che, nel loro insieme, delineano un comportamento anomalo rispetto al normale flusso comunicativo di un’organizzazione.
C’è una difficoltà di fondo che risiede nella natura stessa di un attacco BEC il quale, se ben congegnato, non si manifesta mai attraverso indicatori evidenti ma mediante deviazioni del contesto, manipolazioni dei processi aziendali e mostrando lievi elementi di discontinuità comportamentale.
Non si tratta di verificare la presenza di allegati malevoli o di link, ma discovare nelle email segnali che tendono a non balzare agli occhi.
Un elemento osservabile è la coerenza del mittente, sulla quale si è concentrata l’azienda americana di cyber security Huntress che ha riscontrato alcune evidenze come, per esempio, l’invio di email in orari inusuali per il mittente impersonato oppure l’uso di stili linguistici non consueti che, spesso, introducono situazioni di urgenza o vertono a esercitare pressioni sul destinatario.
Si tratta di piccoli scostamenti dal consueto: sintassi rigide o sbrigative che normalmente non sono nelle corde del mittente, oppure richieste di non coinvolgere terzi nello scambio di email.
Un altro elemento ricorrente è la richiesta (o l’imposizione, a seconda del ruolo impersonato dal mittente) di modificare processi aziendali consolidati, soprattutto quando si tratta di flussi finanziari o di procedure amministrative.
In questo ambito rientrano le richieste di cambiare coordinate bancarie alle quali fare pervenire bonifici, il fare pressioni affinché un pagamento venga effettuato in fretta, oppure la richiesta di condividere documenti sensibili senza le dovute autorizzazioni.
La multinazionale della cyber security Palo Alto Networks sostiene che le discrepanze notate dai destinatari delle email fanno la differenza nello scoprire le truffe BEC, argomento questo sul quale torneremo in chiusura.
Un ulteriore tratto distintivo è la progressione dell’interazione. Il BEC raramente si manifesta con una richiesta diretta e immediata.
Gli attaccanti tendono a creare un contesto credibile attraverso uno scambio preliminare di messaggi, magari chiedendo informazioni innocue o confermando dettagli già noti.
Questo serve a rafforzare la fiducia e a rendere la richiesta finale più naturale.
Le tecnologie e i servizi a supporto della lotta al BEC
Modelli di Machine learning e di elaborazione del linguaggio naturale (NLP) hanno dimostrato una certa efficacia nell’individuare attacchi BEC.
Proofpoint usa modelli derivati da Bert e altri transformer per esaminare testo, tono e pattern nelle email.
Ironscales si focalizza sul rilevamento del BEC, del phishing e del social engineering in genere, ricorrendo a modelli di Machine learning che apprendono da email reali per individuare ciò che non lo è.
Barracuda Sentinel è una soluzione incentrata su analisi comportamentale, NLP e pattern linguistici per identificare phishing, impersonificazione e BEC.
È integrata in Exchange365 di Microsoft, azienda che, dal canto suo, ha un approccio proattivo al pari di Google che, in Workspace (Gmail), integra modelli di Machine learning e NLP proprietari per bloccare spam, phishing e BEC prima che vengano recapitati nelle mailbox.
Questi prodotti e servizi sono solo alcuni tra i tanti disponibili sul mercato. A prescindere dalle peculiarità di ognuno e dai modelli AI deputati alla difesa dalle minacce, tutti sono accomunati da addestramenti svolti su milioni di email legittime confrontate con attacchi reali e tutti godono di aggiornamenti continui.
Perché la crittografia non basta
Così come il ricorso a modelli AI può non essere sufficiente perché non sempre i dataset sono tanto grandi e realistici da garantire risultati certi, credere che la crittografia possa risolvere un attacco BEC è argomento perfettibile.
Infatti, il BEC non è un attacco che si schiera contro un canale di comunicazione, ma al suo interno. Sfrutta la fiducia e il contesto per riuscire a infiltrarsi tra le procedure aziendali per procurare un tornaconto all’attaccante, non sfrutta eventuali debolezze dei protocolli di cifratura.
La crittografia protegge il contenuto di un’email durante il trasporto ma, nel BEC, l’attaccante non ha bisogno di intercettare traffico: se compromette le credenziali di un dipendente di un’azienda, queste risultano legittime.
Inoltre, la crittografia non interviene su un altro elemento chiave del BEC: la compromissione dell’account. Se l’attaccante ottiene accesso tramite phishing, credential stuffing o malware, opera dall’interno dell’ecosistema email con privilegi reali.
A quel punto, ogni messaggio che invia è tecnicamente indistinguibile da un messaggio legittimo.
La cifratura end‑to‑end non può distinguere un dipendente reale da uno che reale non è.
Misure di intercettazione
Al di là delle tecnologie e dei servizi di cui si è scritto sopra, ciò che è utile per intercettare un attacco BEC è una difesa su più livelli.
Sono utili i già citati modelli capaci di rilevare pattern di testo, cambiamenti di tono e anomalie nel flusso del discorso ma, a fare la differenza, è l’elemento umano.
Formare adeguatamente il personale, spiegare che ogni tentativo di esercitare pressioni sulla scorta di urgenze o dell’autorità di chi fa richieste (un manager di alto livello se non persino il proprietario dell’azienda) è già un potenziale indizio che necessita pochi secondi per essere esaminato da vicino.
Infatti, approntando procedure di controllo, le aziende dovrebbero fare ricorso a una doppia approvazione per la trasmissione via email di dati sensibili, la predisposizione di bonifici al di sopra di un certo importo oppure la modifica di coordinate bancarie.
Dopo avere ricevuto una richiesta di questi tipi, il dipendente avvia una procedura standard che prevede una telefonata al mittente dell’email, per controllare che sia davvero artefice della richiesta stessa.
