Che cos'è il Vendor Email Compromise (VEC)?

Che cos'è il Vendor Email Compromise (VEC)?

La compromissione della posta elettronica del fornitore, nota anche come "compromissione della supply chain finanziaria", è un tipo mirato di attacco BEC (Business Email Compromise) in cui i malintenzionati si spacciano per un fornitore terzo per derubare i clienti di quel fornitore. Spesso i fornitori lavorano con una varietà di clienti: compromettendo e impersonando il fornitore, i malintenzionati possono convincere più bersagli a fornire denaro o informazioni sensibili.

Cos'è la compromissione della posta elettronica aziendale?

La Business Email Compromise (BEC) è un tipo di attacco social engineering che prende il controllo delle e-mail della vittima. In un attacco BEC, l'autore di un attacco falsifica un messaggio di posta elettronica tramite testo normale per indurre la vittima a compiere una serie di azioni prestabilite, come ad esempio la rivelazione di dati sensibili.

La particolarità del BEC è che spesso prende di mira un individuo specifico all'interno di un'organizzazione ed è spesso difficile da rilevare. Le e-mail possono facilmente passare inosservate alle tradizionali soluzioni di sicurezza della posta elettronica perché non contengono malware, link dannosi, allegati e-mail pericolosi o altri elementi che la soluzione di sicurezza della posta elettronica utilizza per filtrare e identificare le e-mail di phishing. Le e-mail BEC utilizzano testo normale, attentamente progettato e realizzato per ingannare il destinatario ed eludere le attuali misure di sicurezza. Le e-mail sono solitamente formulate in modo da imitare il tono e il contenuto di mittenti fidati, come colleghi o CEO, il che aiuta a indurre il destinatario a interagire con loro.

Sebbene gli attacchi di compromissione della posta elettronica del fornitore siano un tipo di attacco BEC, non sono necessariamente la stessa cosa. Una tipica campagna di attacco BEC prende di mira un privato o un dirigente per ottenere informazioni riservate, mentre una campagna di compromissione delle e-mail del fornitore richiede in genere una maggiore comprensione delle relazioni commerciali esistenti, come le strutture di pagamento, le informazioni finanziarie e i processi fornitore-cliente esistenti. Il processo di ricerca di una compromissione delle e-mail di un fornitore può durare settimane o mesi e il potenziale guadagno per l'aggressore è molto più elevato.

Come si svolgono gli attacchi di compromissione delle e-mail dei fornitori?

Gli attacchi di compromissione della posta elettronica del fornitore sono sofisticati, complessi e difficili da rilevare. La loro progettazione, infiltrazione e implementazione può richiedere mesi, se non anni. Tuttavia, esistono dei passaggi comuni per ogni attacco di compromissione della posta elettronica del fornitore:

1. Ricerca approfondita sul fornitore e sulla sua base di clienti. Utilizzando informazioni disponibili al pubblico, gli aggressori apprenderanno informazioni sui dipendenti, sui clienti, sui processi di lavoro, sui cicli di fatturazione e su altri fatti del fornitore preso di mira. Il completamento di questo processo può richiedere settimane o mesi, ma la ricerca alla fine aiuta l'autore dell'attacco a impersonare il difensore in modo più convincente
2. Invio di e-mail di phishing al fornitore. Prima di effettuare attacchi contro i loro obiettivi finali, gli aggressori devono ottenere l'accesso all'account di posta elettronica del fornitore preso di mira. Per raggiungere questo obiettivo, gli aggressori spesso inviano al fornitore diverse e-mail di phishing contenenti link dannosi.
3. Rilevamento dell'account compromesso. Una volta che gli aggressori ottengono l'accesso all'account di posta elettronica del fornitore, creano regole di inoltro della posta elettronica per inviare copie della posta elettronica pertinenti alla posta in arrivo dell'aggressore. Da qui, l'aggressore monitorerà la posta in arrivo alla ricerca di informazioni finanziarie pertinenti, come il conto bancario, i dettagli delle fatture e le scadenze dei pagamenti.
4. Invio di attacchi e-mail mirati ai clienti del fornitore. L'ultimo passaggio consiste nel progettare un'e-mail di campagna di spear phishing altamente sofisticata e difficile da rilevare, da inviare ai clienti del fornitore, in genere al momento della fatturazione. Utilizzando le informazioni raccolte nella fase di ricerca, gli aggressori in genere cercano di convincere le loro vittime che devono dei soldi al fornitore e di inviare il presunto "pagamento richiesto" sul conto dell'aggressore.

Quali sono le conseguenze di un attacco di compromissione della posta elettronica del fornitore?

Le campagne di compromissione delle e-mail dei fornitori colpiscono due vittime diverse: il fornitore compromesso e i suoi clienti o fornitori.

I fornitori compromessi potrebbero subire danni alla reputazione e perdite finanziarie sotto forma di pagamenti non indirizzati correttamente. L'autore di un attacco può accedere ai fondi destinati al fornitore reindirizzando i pagamenti dei clienti a un conto da lui specificato. E una volta scoperta la campagna di attacco, la reputazione del fornitore potrebbe subire un colpo a causa del timore che i dati privati di un cliente attuale o potenziale vengano esposti.

Inoltre, gli obiettivi “finali”, ovvero i clienti o i fornitori presi di mira dall’account del fornitore compromesso, potrebbero subire ingenti perdite finanziarie, perdita di servizi e una supply chain compromessa.

Un esempio di attacco di compromissione della posta elettronica di un fornitore è l'attacco del dicembre 2020 all'organizzazione non-profit One Treasure Island. Gli autori di attacchi si sono spacciati per un contabile terzo, si sono infiltrati nelle catene di posta elettronica esistenti e hanno inviato un'e-mail con una richiesta di bonifico bancario con istruzioni alternative per il bonifico bancario. Un membro dello staff di Treasure Island ha trasferito un pagamento di importo elevato destinato al partner sul conto dell'aggressore, perdendo 650.000 dollari. Questo attacco ha causato perdite finanziarie, perdita di servizi e messa a repentaglio la reputazione del fornitore One Treasure Island, oltre a perdite finanziarie e di reputazione per il contabile terzo compromesso.

Come può Cloudflare impedire la compromissione delle e-mail dei fornitori?

La sicurezza e-mail di Cloudflare protegge da un'ampia gamma di attacchi, tra cui la prevenzione di campagne di compromissione e-mail dei fornitori mirate e sofisticate e difficili da rilevare. Questa protezione avanzata della posta elettronica è supportata dalla rete globale di Cloudflare, che blocca una media di 86 miliardi di minacce al giorno.. Come parte della piattaforma Cloudflare Zero Trust, aiuta a fornire una sicurezza continua e completa e semplifica per i fornitori e le organizzazioni l'applicazione di soluzioni di sicurezza in locale sicure e cloud native.