Gli attacchi BEC stanno diventando sempre più costosi

Scopri perché la sicurezza tradizionale delle e-mail non è d'aiuto

Gli attacchi BEC si stanno rivelando costosi

L'anno scorso, i criminali informatici hanno sottratto 2,3 milioni di dollari alla città di Peterborough, nel New Hampshire, utilizzando attacchi condotti tramite e-mail. La cosa peggiore è che le perdite sono state attribuite a due attacchi distinti condotti dallo stesso gruppo criminale, il che significa che la tesoreria del comune avrebbe potuto limitare i danni se solo si fosse accorta prima dell'errore.

Esiste però un motivo per cui l'ufficio non ha messo in dubbio i messaggi: le e-mail non solo avevano eluso i filtri, ma avevano un'aria del tutto legittima. Non contenevano errori grammaticali, né mittenti sconosciuti o link sospetti associati a e-mail dannose. Utilizzando alcuni messaggi posizionati strategicamente, gli aggressori sono riusciti a spacciarsi per un distretto scolastico e successivamente per un'impresa di costruzioni, dirottando milioni di fondi comunali sui propri conti.

La tesoreria di Peterborough è stata vittima di una truffa altamente mirata e difficile da individuare, chiamata Business Email Compromise (BEC).

Il BEC è una tattica di phishing che non fa uso di link dannosi o malware. Gli attacchi consistono spesso in una o due e-mail in cui l'aggressore finge di essere un'entità nota e fidata, un fornitore o un dipendente, per indurre il destinatario a inviare fondi a un conto controllato da lui controllato.

A causa della sua natura mirata, il BEC non è il tipo più comune di attacco via e-mail, ma può essere uno dei più devastanti. In un campione di 31 milioni di minacce basate su e-mail, Cloudflare ha rilevato che i BEC hanno avuto il volume più basso di attacchi, pari all'1,34%, ma sono stati responsabili di perdite stimate in 354 milioni di dollari, con perdite individuali in media di circa 1,5 milioni di dollari ciascuna.

Mano mano che gli aggressori sono sempre più abili nello sfruttare la fiducia, la sicurezza tradizionale delle e-mail è inefficace nel prevenire i BEC. Per proteggere se stesse e i propri dipendenti, le organizzazioni necessitano piuttosto di strategie moderne e proattive. Ad esempio, l'identificazione e la neutralizzazione preventiva dell'infrastruttura dell'aggressore può bloccare gli attacchi BEC prima che colpiscano. Allo stesso tempo, l'analisi contestuale può segnalare i messaggi che eludono i filtri o che provengono da account interni compromessi. Modernizzare la sicurezza delle e-mail con strategie come queste può proteggere le organizzazioni da questi costosi attacchi.

Dove le misure di sicurezza tradizionali delle e-mail sono carenti

Le strategie tradizionali di sicurezza e-mail non sono state concepite per gestire gli attacchi BEC e, in ultima analisi, lasciano le organizzazioni vulnerabili. Queste tattiche comprendono:

• Filtri integrati e Secure Email Gateway (SEG): i filtri integrati per le e-mail di provider come Microsoft o Google sono più adatti a identificare la posta spam rispetto ai tentativi di BEC.Anche i Secure Email Gateway (SEG) filtrano le e-mail sospette, ma faticano a identificare i BEC e hanno una significativa sovrapposizione con le funzionalità e-mail integrate (il che li rende anche ridondanti).

• Autenticazione e-mail: l'impostazione dei record Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication Reporting and Conformance (DMARC) può aiutare a prevenire lo spoofing delle e-mail.Tuttavia, queste misure non funzionano contro e-mail provenienti da account legittimi, cosa che avviene comunemente con i BEC.

• Vigilanza dei dipendenti: Cloudflare ha rilevato che il 92% delle e-mail segnalate dagli utenti non sono considerate dannose.Questo elevato volume di falsi positivi finisce per creare un certo calo di attenzione tra gli addetti al monitoraggio, aumentando i rischi.

Tipi di BEC e differenze rispetto allo spam

Le specificità delle truffe BEC e i danni che provocano variano a seconda della tipologia, ma tutte sfruttano il principio di fiducia:

• Mittente o dominio esecutivo falsificato:queste e-mail utilizzano un dirigente come esca.L'aggressore copia il nome del dirigente e/o il dominio dell'azienda bersaglio.Poi, fingendosi il dirigente, chiede a un dipendente di eseguire una transazione finanziaria, come un bonifico o l'acquisto di carte regalo.

• Compromissione dell'account di un dipendente:Questo tipo di acquisizione di un account interno utilizza l'account compromesso di un dipendente come punto di ingresso.Impadronendosi dell'account di un dipendente reale (in genere tramite password rubate), l'aggressore si finge un dipendente e chiede a un collega (la vittima) di aiutarlo a completare una transazione finanziaria.

• Impersonificazione di un venditore/fornitore: In questo attacco, un cybercriminale si spaccia per un fornitore o un venditore che intrattiene effettivamente un rapporto con l'organizzazione-bersaglio.Poiché il mittente è esterno all'organizzazione, le vittime incaute potrebbero non notare le discrepanze e i segnali tipici della truffa.

• Fornitore compromesso / fornitore infiltrato: Questo è il tipo di BEC più avanzato e può richiedere mesi per essere eseguito.Questi attacchi compromettono innanzitutto un partner della catena di approvvigionamento o un fornitore attraverso uno o più acquisizioni di account e-mail.L'aggressore osserva silenziosamente i thread di e-mail legittime, quindi si inserisce nella conversazione al momento giusto, indirizzando le richieste di pagamento a un account controllato dall'aggressore.In alcuni di questi attacchi alla supply chain, la vittima può anche non sapere di aver subito una perdita finanziaria fino a che la stessa non viene rivelata da una verifica interna.

Tutti questi tipi di attacco possono condividere alcune caratteristiche, tra elementi di social engineering e la generazione di un senso di urgenza. I malintenzionati manipolano il destinatario affinché non solo si fidi di loro, ma agisca rapidamente prima di insospettirsi. Spesso vengono addotti motivi per cui il destinatario non dovrebbe fare domande di approfondimento prima di completare il compito richiesto. Ad esempio, un'e-mail fraudolenta in cui l'"amministratore delegato" comunica che sta per imbarcarsi in un aereo, e che non sarà raggiungibile per diverse ore.

Per complicare ulteriormente la faccenda, lo stile altamente mirato e a basso volume di questi attacchi spesso elude i filtri e-mail esistenti, che si basano su alti volumi di attacchi per aggregare i dati. Affinché le policy sulle minacce funzionino, i filtri e-mail hanno bisogno di questi dati per "imparare" che elementi come domini, IP e malware devono essere considerati sospetti. Sebbene ciò aiuti a filtrare i messaggi di spam tradizionali, non è sufficiente per contrastare la precisione degli attacchi BEC. Gli aggressori possono creare indirizzi e-mail nuovi di zecca, creare domini di fantasia o impossessarsi di account e-mail legittimi, tutte operazioni che probabilmente non verrebbero rilevate dalle funzionalità di sicurezza e-mail integrate.

Progettare un approccio moderno alla sicurezza e-mail

Per combattere efficacemente gli attacchi BEC, le aziende devono impostare le loro strategie sui seguenti principi:

• Difesa proattiva: Invece di aspettare che le e-mail dannose arrivino nella casella di posta dei dipendenti, la tecnologia predittiva è in grado di scansionare l'infrastruttura degli aggressori, come indirizzi e-mail nuovi di zecca o domini fraudolenti, e di bloccare preventivamente il mittente.In questo modo si può ridurre il rischio che un dipendente si colleghi all'e-mail di un aggressore prima che questa venga rilevata.

• Analisi contestuale: Ad esempio, la tecnologia di elaborazione del linguaggio naturale (NLP) può analizzare il "sentiment" dei messaggi, che può aiutare a individuare il linguaggio "urgente".Inoltre, la tecnologia computer vision può aiutare a individuare i siti web di phishing che spesso integrano gli attacchi.Altre soluzioni includono l'analisi dei thread, che può essere utile quando gli aggressori si inseriscono in un thread esistente, e l'analisi dei profili dei mittenti per determinare il rischio che rappresentano.

• Protezione continua: Filtrare i messaggi all'arrivo non è sufficiente, soprattutto perché alcune e-mail inevitabilmente eludono i filtri.Inoltre, le e-mail dannose sono spesso solo una parte di un attacco più ampio, quindi è importante una protezione che vada oltre la casella di posta.Ad esempio, se un'e-mail dannosa dovesse sfuggire ai filtri e un dipendente dovesse fare clic su un link sospetto, la pagina web potrebbe essere caricata in un browser remoto isolato, proteggendo il dipendente e il suo dispositivo.Questo tipo di protezione continua è necessaria per applicare strategie di sicurezza più olistiche, come il protocollo Zero Trust.

• Distribuzione multimodale: Alcune soluzioni per la sicurezza della posta elettronica, come i SEG, devono essere implementate in linea, il che significa modificare il record di mail exchange (un record DNS che indirizza le e-mail ai server di posta).Questo metodo funziona meglio per le e-mail esterne, poiché è posizionato davanti alla casella di posta dei dipendenti e ispeziona tutta la posta in arrivo e in uscita.Le soluzioni distribuite tramite API, invece, sono generalmente più veloci da configurare.Tuttavia, un approccio basato sulle sole API ha lo svantaggio di non prevenire un attacco, creando la possibilità per un dipendente di agire su un'e-mail prima che venga neutralizzata.Una distribuzione multimodale (o in grado di supportare la distribuzione in linea o tramite API) è la migliore perché può proteggere i team da minacce interne ed esterne, oltre che da messaggi pre e post consegna.

• Mettersi "a prova di futuro" e l'automazione: cerca soluzioni non basate sull'hardware (che può richiedere una manutenzione costosa o invecchiare nel tempo), che gestiscano automaticamente i rapporti sugli incidenti (restituendo tempo ai team di sicurezza) e che non richiedano una significativa creazione manuale di criteri sulle minacce (che possono rallentare la protezione e non tenere mai pienamente conto di tutte le possibili minacce).

Una moderna strategia di sicurezza delle e-mail basata su questi principi offrirà una protezione completa contro gli attacchi BEC e altre forme di phishing in tutte le fasi del ciclo di attacco, per proteggere meglio le risorse e i dati dell'organizzazione.

Interrompi preventivamente gli attacchi di phishing

Cloudflare offre sicurezza e-mail nativa sul cloud che identifica in modo proattivo l'infrastruttura degli aggressori, offrendo una protezione continua contro attacchi BEC e altre forme di attacchi condotti via email.

Come parte della piattaforma Cloudflare Zero Trust - che protegge le applicazioni e la navigazione dei dipendenti per bloccare malware, phishing e perdita di dati - l'integrazione di Email Security con i servizi Zero Trust rimuove la fiducia implicita dalle e-mail per aiutare i clienti a bloccare gli attacchi BEC e di phishing.

Questo articolo fa parte di una serie sulle ultime tendenze e argomenti che hanno un impatto sui decisori tecnologici di oggi.

Punti chiave

Dopo aver letto questo articolo sarai in grado di capire:

• Cosa c'è dietro l'aumento degli attacchi BEC

• In che modo gli attacchi BEC differiscono dallo spam

• Perché strategie tradizionali di sicurezza della posta elettronica non funzionano contro gli attacchi BEC

• Come modernizzare le strategie di sicurezza della posta elettronica e prevenire i BEC

RISORSE CORRELATE

• Valutazione gratuita del rischio di phishing

• Webinar: Espandere il campo d'azione di Zero Trust con la sicurezza della posta elettronica

• Rapporto: E' iniziato con un phish

• Scheda tecnica: La sicurezza e-mail di Cloudflare