Compromissione della posta elettronica aziendale (BEC, attacco man-in-the-email)

La compromissione della posta elettronica aziendale (BEC) è un exploit di sicurezza in cui l'aggressore prende di mira un dipendente che ha accesso ai fondi dell'azienda e convince la vittima a trasferire denaro su un conto bancario controllato dall'aggressore.

Secondo l'Internet Crime Report dell'FBI, gli exploit BEC sono stati responsabili di oltre 1.77 miliardi di dollari di perdite nel 2019. La compromissione della posta elettronica aziendale è una delle principali affermazioni di cyberinsurance nel 2020 e il fornitore di sicurezza Proofpoint ha avvertito le aziende che gli exploit BEC sono sempre più legati a COVID -19. Le vittime più comuni di BEC sono le aziende che utilizzano bonifici bancari per inviare denaro a clienti internazionali.

 

Gli exploit BEC iniziano spesso con l'attaccante che utilizza una truffa di ingegneria sociale per indurre un obiettivo di livello C a scaricare malware, fare clic su un collegamento infetto o visitare un sito Web compromesso. Una volta che l'account del manager di livello C è stato compromesso, può essere utilizzato per indurre un altro dipendente a inviare denaro all'attaccante.

 

Una strategia popolare BEC consiste nell'inviare un'e-mail dall'aspetto ufficiale a qualcuno nel dipartimento finanziario dell'azienda. In genere, un'e-mail di questo tipo dirà che si tratta di una questione riservata e sensibile al fattore tempo che richiede che il pagamento venga effettuato sul conto bancario di un cliente, partner o partner della catena di fornitura il prima possibile. L'aggressore spera che l'ignaro addetto alla finanza pensi di aiutare la propria azienda facilitando un rapido trasferimento di fondi, quando in realtà sta inviando denaro sul conto bancario dell'aggressore.

Ci sono molti modi in cui BEC può essere utilizzato per frodare obiettivi. Alcuni esempi:

  • Un account dipendente compromesso richiede una modifica delle informazioni sul beneficiario e trasferisce i pagamenti all'account dell'autore del reato.
  • L'aggressore invia una fattura fasulla ai fornitori partner nella speranza che paghino il conto senza metterlo in discussione.
  • L'identità e-mail di un avvocato potrebbe essere utilizzata per esercitare pressioni sull'obiettivo per il pagamento immediato.

I criminali informatici possono inoltre utilizzare un account compromesso (in particolare quelli dei dipendenti delle risorse umane) per ottenere più informazioni di identificazione personale (PII) da utilizzare in seguito per frodare l'azienda oi suoi clienti. Le misure per prevenire questo tipo di frode finanziaria includono la formazione dei dipendenti, lo svolgimento di pen test di ingegneria sociale e l'aggiunta del requisito che almeno due dipendenti firmino le approvazioni per le richieste di modifica dei pagamenti.