Come difendersi dalle frodi BEC (Business E-mail Compromise)

L’ uso sempre più diffuso di strumenti per il lavoro digitale rappresenta una grande opportunità per lavoratori e aziende, ma anche una potenziale fonte di rischi.

Se il phishing è una tipologia di attacco ormai nota, che bisogna contrastare quasi quotidianamente, esiste un’altra tipologia molto insidiosa che prende di mira soprattutto le imprese: le frodi BEC, acronimo anglosassone di Business E-mail Compromise.

Tramite un attacco BEC, un cybercriminale intende ottenere l’accesso alla casella e-mail della vittima designata. Lo scopo è quello di individuare dati utili a commettere una frode oppure un ricatto. Gli account e-mail maggiormente presi di mira per questo genere di attività sono in larga misura quelli aziendali. Tuttavia, possono essere colpiti anche quelli personali.

• Un hacker individua un manager aziendale come obiettivo;
• Successivamente inizia l’attacco alla sua casella e-mail utilizzando varie tecniche, finché non riesce ad accedere;
• Una volta ottenuto l’accesso, analizzando l’archivio delle e-mail inviate e ricevute (attività che può durare giorni, settimane o anche mesi) individua il nome di un cliente abituale della ditta e la copia di una fattura a lui emessa;
• A quel punto, il criminale invia un messaggio direttamente dalla casella e-mail del manager verso l’indirizzo e-mail del cliente.

Per richiedere il pagamento della fattura tramite bonifico.

Specificando, in tutto ciò, false coordinate bancarie, cioè non appartenenti alla ditta che ha emesso la fattura. Il messaggio viene poi prontamente cancellato subito dopo l’invio per non lasciare tracce. In questo modo il manager è totalmente inconsapevole di ciò che sta avvenendo.

• Il fattore umano è fondamentale. La formazione dei dipendenti a tutti i livelli è indispensabile, affinché imparino a riconoscere quelle tecniche che spesso sono usate per compromettere le e-mail. A volte anche segnali impercettibili possono aiutare ad individuare le frodi. Ad esempio, il testo di una e-mail scritta in un italiano non perfettamente corretto;
• Sviluppare solide policy aziendali da seguire per adempiere ai pagamenti. Diffidare sempre dei dati riportati nelle e-mail ricevute;
• Evitare per quanto possibile la pubblicazione sul proprio sito web di indirizzi e-mail personali. Questa pratica può esporre ai cybercriminali due informazioni importanti:
  1) chi è il manager dell’azienda;
  2) l’indirizzo e-mail del manager, che è quasi sicuramente anche la prima “chiave di accesso” alla casella e-mail (la seconda è la password).
• Utilizzare password “forti” e servizi e-mail moderni. Come password da utilizzare per la propria casella e-mail evitare dati personali (ad esempio data di nascita, nome, cognome o il nickname usato sui social). È preferibile utilizzare servizi sui quali si possa attivare la doppia autenticazione tramite smartphone per l’accesso alla web mail. Ad esempio Microsoft 365 e Gmail.
• Utilizzare la crittografia per collegarsi ai mail server. Controllare che per l’invio e ricezione delle e-mail venga utilizzata la crittografia SSL, senza la quale si potrebbe subire il furto della password.
• Dotarsi di strumenti antispam (posta indesiderata) efficaci. Un filtraggio efficace delle e-mail in arrivo può aiutare ad individuare e-mail sospette. Solitamente questi tipi di strumenti vengono offerti direttamente dal fornitore del servizio e-mail oppure da un antivirus o un firewall aziendale.
• Aggiornare costantemente le tecnologie impiegate in tema di cybersecurity, sia in ambiente aziendale ma anche personale. Mai sottovalutare la potenziale vulnerabilità di tablet e smartphone. Questi strumenti personali per antonomasia potrebbero sfuggire ai controlli di protezione aziendali.

A cura di Loris Barbi