Se ricevi una e-mail dal tuo CFO con una richiesta urgente, cosa fai? Un dirigente, spesso un CFO o un CEO, avrà un’azione imminente da chiedere. Questo è ciò che cercano di fare gli attacchi Business Email Compromise.
I ricercatori di Avanan, una società di Check Point, hanno analizzato il modo in cui gli attori delle minacce stiano falsificando i CFO per convincere i subalterni a inviare denaro. È quanto accaduto a un’importante società sportiva che è uscita indenne dalla trappola grazie all’intervento di Avanan.
In questo attacco Business Email Compromise in piena regola, gli attaccanti hanno impersonato un’alta carica aziendale per incassare con l’inganno un cospicuo pagamento. L’attuazione pratica è stata da manuale: gli attori malevoli hanno creato un falso account del CFO dell’azienda, quindi, hanno generato una e-mail che sembrava inoltrata dal CFO, con la richiesta e le istruzioni dettagliate per inviare un bonifico istantaneo a una compagnia assicurativa. Naturalmente, se il dipendente avesse abboccato, il denaro sarebbe stato recapitato su un conto corrente intestato agli attaccanti e difficilmente sarebbe stato possibile recuperarlo.
La compagnia assicurativa destinataria del pagamento esisteva davvero, era la West Bend Mutual e l’URL nell’indirizzo del mittente era effettivamente tratto dal loro slogan. A non avere funzionato sono stati i dettagli: l’indirizzo “reply-to” era diverso dall’indirizzo e-mail della società. Inoltre, l’e-mail “Get in touch” riportava “Silver Linning” anziché “Silver Lining”.
“All’utente viene presentata un’e-mail dal CFO di questa grande azienda. Il CFO chiede al destinatario dell’e-mail di effettuare il pagamento a questa compagnia assicurativa. West Bend Mutual è una società legittima; ancora più intelligente è il fatto che l’URL nell’indirizzo prende dal loro slogan. Tuttavia, questo è chiaramente un falso, poiché l’indirizzo di risposta nella parte superiore dell’e-mail è diverso dall’indirizzo e-mail dell’azienda. Noterai che il banner mostra che l’email non proveniva dal mittente visualizzato. Questo è stato aggiunto dal generico Office 365 del tenant, non da Proofpoint. È l’unica cosa che ha avvisato l’utente finale che qualcosa non andava”, si legge nella relazione di Avanan.
I ricercatori spiegano che gli attacchi Business Email Compromise hanno un successo sbalorditivo in quanto funzionano giocando sui desideri delle persone di comportarsi bene per il loro capo. Hanno anche successo perché sono difficili da fermare. I gateway di posta elettronica sicuri non dispongono delle informazioni contestuali necessarie per fermare questi attacchi. Questi gateway sono progettati solo per monitorare la posta in entrata e non hanno modo di scansionare la posta interna o di comprendere il contesto o le relazioni di conversazione all’interno di un’organizzazione. Quando un gateway esterno vede un’e-mail dal “CEO” al “CFO”, sarà la prima volta che vede una conversazione del genere. Mentre una soluzione interna avrà visto migliaia di conversazioni interne reali simili con cui confrontarla, un gateway esterno può solo indovinare il contesto.
In questo attacco, è stato fondamentale un banner inserito per impostazione predefinita. Tuttavia, i banner non sono il punto di riferimento. Secondo la ricerca troppi banner possono portare gli utenti finali a ignorarli.
L’FBI ha registrato 43 miliardi di dollari di perdite dovute a queste truffe dal 2016 e segnalato un aumento del 62% delle perdite tra luglio 2019 e dicembre 2021. Nel 2021, 40 milioni di dollari delle perdite avvenute erano legati alla criptovaluta; nel 2020, quel numero era più vicino a $ 10 milioni.
Una variante di questo attacco si è verificata di recente presso Cisco, dove un hacker è riuscito a rubare la password di un dipendente, per poi fingere di essere un’organizzazione affidabile durante telefonate ed e-mail. Un’escalation del tradizionale attacco BEC, ma tutto facente parte della stessa famiglia. L’idea è quella di utilizzare nomi e partner fidati per convincere i dipendenti di livello inferiore a consegnare denaro o credenziali. Senza l’utilizzo di malware, allegati o collegamenti dannosi, questi hack rappresentano l’apice dell’ingegneria sociale.
“Questo tipo di attacco è stato visto in una varietà di aziende, in una varietà di settori. Qualsiasi CFO è un potenziale obiettivo. La cosa migliore, quindi, è bloccare proattivamente questi attacchi, in modo che gli utenti finali non debbano decidere se è legittimo o meno”, conclude Avanan che consiglia inoltre una lista di best practices da seguire per evitare questo tipo di attacco.
https://www.avanan.com/blog/cfo-spoofed-in-convincing-business-email-compromise-
https://www.securityopenlab.it/news/2219/falso-cfo-sferra-attacchi-bec.html