DGS CyLABs: Business Email Compromise (BEC)

Per rilevare precocemente e bloccare le diverse tipologie di attacchi di Business Email Compromise, all’interno del nostro laboratorio di cyber security (CyLAB) BEC gli esperti di DGS orchestrano formazione, strumenti di analisi e protocolli infrastrutturali a protezione degli scenari operativi dei nostri clienti.

Con l’aumentare del lavoro da remoto, la delocalizzazione delle attività e l’utilizzo di infrastrutture cloud-based, i cyber criminali hanno perfezionato le truffe di tipo EAC (Email Account Compromise) con attacchi sempre più mirati e incisivi utilizzando la posta elettronica quale strumento per ottenere la fiducia dei destinatari e arrivare al proprio obiettivo criminale.
Nello specifico, nelle truffe ditipo BEC (Business Email Compromise) – spesso note anche come CEO fraud – l’aggressore si finge una figura di rilievo all’interno dell’azienda per richiedere pagamenti o altre operazioni complesse, autorizzandone al contempo le diverse modalità di esecuzione (IBAN diversi, ad esempio) per cause temporanee o eccezionali.

Le truffe BEC rappresentano uno dei tipi di criminalità informatica più dannosi dal punto di vista finanziario. In un rapporto dell’FBI, si calcola che negli ultimi anni questi attacchi hanno provocato perdite per oltre 43 miliardi di dollari, senza contare altre tipologie di perdite e i rischi derivanti dal furto di dati e dalla violazione dei sistemi di sicurezza informatici. Ciononostante, ancora oggi alcune organizzazioni tendono a sottovalutare la gravità degli attacchi BEC in quanto la maggior parte delle aziende non riesce a identificare facilmente e con rapidità questa tipologia di incidenti che possono provenire da fornitori o partner fidati ma compromessi.

I tentativi di frode perpetrati utilizzando tecniche di Business E-mail Compromise sono problemi complessi, fondati su sofisticate tecniche di social engineering che si concentrano su debolezza e fragilità umana piuttosto che su vulnerabilità tecniche; richiedono quindi un approccio difensivo fondato su più livelli, diversi e sinergici tra loro, che mantengano il focus sulla consapevolezza degli utenti sull’utilizzo della posta aziendale.

Gli attacchi sono progettati per bypassare i meccanismi di sicurezza come filtri antispam e antivirus e sono così pericolosi perché non contengono software dannoso (malware) o link a siti malevoli noti.

Per effettuare un attacco gli hacker ingannano l’utente utilizzando indirizzi email che somigliano a quelli noti (i cosiddetti lookalike domain), ovvero domini registrati con nomi simili a quello da impersonare (utilizzando ad esempio uno zero al posto di una o), piuttosto che falsificare l’indirizzo del mittente; molto spesso però i vettori dell’attacco sono degli indirizzi totalmente validi le cui credenziali sono state ottenute tramite email di phishing, attacchi brute force o acquistate sul dark web in seguito a data breach.

In questo scenario, diventa fondamentale stabilire un modello di protezione incentrata sulle persone al fine di prevenire, individuare e reagire alle tecniche BEC; modello che non può prescindere dalla sensibilizzazione degli utenti finali attraverso percorsi di formazione continua e puntuale.

È necessario poi dotarsi di strumenti basati su Intelligenza Artificiale e Machine Learning che assicurino meccanismi di monitoraggio del flusso di comunicazione via e-mail, in modo da reagire rapidamente in caso di problemi, piuttosto che meccanismi che garantiscano automaticamente il mutuo riconoscimento dei domini che inviano e ricevono la posta elettronica.

L’obiettivo del nostro CyLAB BEC è di individuare le linee guida per poter contestualizzare e rendere più efficaci gli strumenti che il mercato mette a disposizione e identificare le tecniche migliori per addestrare gli utenti finali a individuare e segnalare mail sospette. Inoltre, il laboratorio ha la finalità di sensibilizzare i clienti all’adozione di strumenti come il DMARC (Domain-based Message Authentication, Reporting, and Conformance) che proteggono dagli attacchi di frode via e-mail prevenendo l’uso fraudolento del proprio dominio.

L’attenzione del laboratorio è rivolta alla definizione di diversi casi d’uso al fine di testare su di essi i prodotti leader di mercato e misurarne l’efficacia di fronte alle diverse tecniche di attacco, rilevando precocemente le diverse tipologie di BEC e bloccando le frodi via e-mail prima che abbiano successo.

L’individuazione di queste tecniche permette poi di poter creare delle campagne di attacchi simulati mirate e focalizzate su queste stesse tecniche, campagne che vanno alla fine integrate negli strumenti di formazione e verifica dei risultati della formazione stessa.

In questo contesto, particolare importanza riveste la visibilità su quali utenti sono più attaccati e da quali tipi di truffa BEC, al fine di rendere sempre più mirate le tecniche di analisi del flusso di mail e di formazione.

I risultati del nostro laboratorio (BEC CyLAB) ci consentono di offrire ai nostri clienti il vantaggio di costruire insieme una difesa personalizzata sui propri scenari operativi e basata su tre percorsi principali:

  • L’analisi di più attributi dei messaggi di posta attraverso un vero machine learning al fine di rilevare le varie tattiche BEC e bloccare le minacce di frode via e-mail prima che entrino nell’azienda.
  • L’addestramento degli utenti finali per metterli in condizione di individuare e segnalare minacce sospette di impostori, basandosi anche sull’informazione su quali utenti sono più attaccati e da quali tipi di truffa BEC, organizzando poi campagne di attacco interne per verificare il livello di maturità raggiunto dall’organizzazione.
  • La protezione del proprio dominio dagli attacchi di frode via e-mail prevenendone un uso fraudolento e garantendo il controllo sulla risposta del destinatario.

Scopri in quali altri ambiti operiamo nei nostri CyLABsCLICCA QUI.