DIGITAL JOURNAL


LA BUSINESS E.MAIL COMPROMISE (BEC): che cos’è e quanti danni sta causando nelle aziende.

25 | 07 | 2019

di Giorgio Sbaraglia (*)

1.1.1 “CEO Fraud”, una storia vera

Introduciamo l’argomento della Business E-mail Compromise (BEC), raccontando un caso vero, accaduto a settembre 2017 e finito su tutti i giornali. Il Direttore della delegazione della Confindustria presso l’Unione Europea a Bruxelles riceve un’e-mail dalla direttrice di Confindustria nazionale: “Caro G., dovresti eseguire un bonifico di mezzo milione di euro (in realtà la cifra pare un po' inferiore, ndr) su questo conto corrente. Non mi chiamare perché sono in giro con il presidente e non posso parlare". Mittente: M P. Ma la mail era di un hacker ed i soldi sono spariti. (*)

Il funzionario di Confindustria a Bruxelles esegue dunque il bonifico che non avrebbe dovuto fare e circa cinquecentomila euro sono passati da un conto di Confindustria Nazionale ad un conto estero di cui non si conosce l'intestatario. Soldi evaporati, scomparsi per sempre. Come è stato possibile? Tutto è cominciato da una mail che era falsa, ma alla quale il funzionario ha purtroppo dato credito. E per questo è stato poi licenziato. Il lettore potrebbe pensare: “è stato uno sprovveduto, come si può cascare in una truffa del genere?” E invece, anche se sembra incredibile, in tantissimi ci cascano… È successo in Confindustria, ma sono centinaia le aziende colpite ogni giorno da frodi finanziarie e milioni le mail contraffatte (mail spoofing, appunto) da cui partono ordini per spostare denaro in ogni parte del mondo.

Ce lo dimostra un importante rapporto redatto dal Federal Bureau of Investigation(la ben nota FBI del 4 maggio 2017, quindi risalente a due anni fa e nel frattempo la situazione è peggiorata, dove vengono esposti i danni generati dalla BEC nel mondo.

 

Sono numeri impressionanti: tra Ottobre 2013 e Dicembre 2016. gli incidenti rilevati in USA e nel resto del mondo sono stati 40.203 ed il danno subito è pari a 5.302.890.448 di dollari (oltre 5 miliardi di dollari!). Secondo l'FBI, le truffe BEC sono state segnalate in oltre cento Paesi e hanno fatto registrare un notevole aumento, pari al 2.370%, delle perdite rilevate tra gennaio 2015 e dicembre 2016. L’ultimo aggiornamento del Rapporto FBI sulla BEC è uscito il 12 luglio 2018 : il totale delle perdite è salito all’astronomica cifra di 12.536.948.299 USD (nel periodo tra Ottobre 2013 e Maggio 2018). Confrontando i due rapporti scopriamo che in meno di un anno e mezzo (da Dicembre 2016 a Maggio 2018) sono stati persi per la BEC altri 7,2 miliardi di dollari, con un aumento del 2.200% tra il 2015 ed il 2017.

Quindi, riassumendo, l’e-mail spoofing può servire per veicolare malware (tra i cui i famigerati ransomware), ma anche per la truffa nota come Business E-mail Compromise (BEC) e di cui il caso raccontato rappresenta solo una delle possibili varianti, quella definita come “CEO Fraud” (la frode del CEO).

Ogni giorno, circa 400 aziende sono vittime di attacchi tramite BEC, che rappresentano un enorme fattore di rischio per le aziende. E nella maggior parte dei casi vengono presi di mira addetti all’interno dello staff finanziario dell’azienda. Il funzionamento ha le caratteristiche di una truffa classica, dove la tecnologia è soltanto un mezzo nuovo per portare a termine raggiri vecchi.

In genere, i cyber attacchi che sfruttano le e-mail come vettore di minacce cibernetiche, al loro interno contengono allegati con malware. Con le CEO Fraud e le BEC, invece, non ci sono allegati, ma solo il corpo normale di un messaggio, nel quale l’attaccante cerca solo di rendersi credibile, “clonando” al meglio il mittente. L’obiettivo è che la vittima riconosca il messaggio come veritiero, proveniente da una fonte certificata e autorevole. A quel punto, l’aggressore chiederà al suo bersaglio di compiere un gesto specifico, che sia un trasferimento di denaro o fornire l’accesso a informazioni riservate. Quest’ultimo non si insospettirà, perché il messaggio non contiene allegati (considerati pericolosi). Quindi probabilmente eseguirà la richiesta, soprattutto se operazioni simili (bonifici, ecc.) avvengono già in azienda e con le stesse modalità.  

1.1.2  La truffa “The Man in the Mail”

Un’altra delle varianti della BEC è la truffa “The Man in the Mail”. Vediamo ora come viene realizzata. I delinquenti intercettano la posta elettronica di un'azienda e fanno in modo che i pagamenti finiscano sui loro conti correnti. Colpisce soprattutto aziende che fanno import/export, in quanto il conto su cui viene dirottato il pagamento si trova all’estero (preferibilmente in paesi molto lontani e generalmente extra-europei). Le motivazioni sono chiare: in certi paesi le regole bancarie sono meno rigorose, oppure il criminale potrebbe avere qualche “appoggio” all’interno della banca. E soprattutto la vittima della truffa troverà complicato avventurarsi in cause legali in un paese estero e lontano, con costi alti ed esito incerto. Infatti, nella maggior parte dei casi, si tende a lasciar perdere ed a rinunciare a qualsiasi azione risarcitoria, salvo nei casi in cui l’importo perso sia veramente considerevole.

Come funziona quindi la truffa “The Man in the Mail”? Il malvivente viola la casella di posta, quella del mittente oppure quella del destinatario, mediante tecniche diverse, ma ugualmente efficaci: phishing, social engineering, furto delle credenziali o attacco “brute force”, keylogger.Studia quindi le comunicazioni dell’azienda, la carta intestata, le firme dei responsabili, lo stile della corrispondenza. Scopre i ruoli aziendali, individuando - per esempio - chi è preposto ad eseguire i pagamenti ai fornitori, poi si inserisce in conversazioni già in corso comunicando, alla persona giusta dell’azienda, coordinate bancarie diverse (le sue!) su cui eseguire i pagamenti. Per fare questo usa appunto lo “spoofing”, falsificando il mittente, oppure usando un indirizzo e-mail appena diverso, o - ancora - accedendo direttamente all’e.mail violata.In alcuni casi, avendo avuto accesso alla corrispondenza tra cliente e fornitore, riesce anche a richiamare numeri d’ordine o importi relativi a forniture realmente eseguite. Il risultato è che l’azienda cliente (quella che deve pagare) si vede arrivare un messaggio con una fattura confezionata con la grafica uguale a quella vera (che l’hacker ha copiato), che indica di eseguire il pagamento su un conto diverso (non quello solito). E probabilmente lo eseguirà senza farsi troppe domande…I numeri riportati nel citato Rapporto FBI ci fanno capire che questa truffa – se ben organizzata – ha ottime probabilità di successo.Io stesso, nella mia attività di formazione nel campo della Cybersecurity, mi trovo quotidianamente a parlare di questo argomento nelle aziende. E posso dire che praticamente tutte le aziende che ho incontrato hanno subito attacchi di tipo BEC: qualcuna è riuscita a non caderci, ma molte altre hanno invece pagato sul conto sbagliato… Le cifre sono state da poche migliaia di euro fino a decine di migliaia. In alcuni casi, per fortuna rari, si è arrivati ad alcune centinaia di migliaia di euro.

Nel prossimo articolo vedremo come difenderci da questa temibile truffa.

_______________________________________________________________________________________________

(*) Giorgio Sbaraglia, ingegnere, è appassionato da sempre ai temi della sicurezza informatica. Dopo esser stato per molti anni dirigente in una grande società di costruzioni italiana, svolge oggi attività di consulenza e formazione per la sicurezza informatica e per il GDPR. Ha pubblicato il libro “GDPR kit di sopravvivenza” per la casa editrice GoWare. Tiene corsi su questi temi per molte importanti società italiane di formazioni, tra le quali la Business School de Il Sole 24 Ore. È membro del CLUSIT (Associazione Italiana per la Sicurezza Informatica) e certificato “Innovation Manager” da RINA.

www.giorgiosbaraglia.it

 

 

(*)http://www.repubblica.it/cronaca/2017/09/30/news/beffa_a_bruxelles_mister_confindustria_truffato_e_licenziato-176906111/


 


Webdesign: G.B. Studio