Quando si parla di truffe via e-mail, e più in generale di attacchi informatici, è importante comprendere che sempre più la sicurezza deve essere incentrata sulle persone.
Scoprire tattiche e motivazioni degli hacker è sempre stato uno degli obiettivi principali dei vendor di cyber security. Lo stesso impegno, e le stesse risorse, dovrebbero però essere impiegati per analizzare l’altra faccia della medaglia, il comportamento della potenziale vittima.
Se è fondamentale comprendere chi ci sta attaccando, è altrettanto, se non più importante, capire chi viene colpito.
Sempre più spesso i cyber criminali prendono di mira un individuo ben preciso all’interno dell’azienda invece di coinvolgere l’intera organizzazione. I metodi possono essere diversi – phishing, spoofing, malware – ma il risultato è identico: ingenti perdite economiche.
Una strategia d’attacco spesso utilizzata è la tecnica di Business Email Compromise (BEC). Nota anche come “il problema più costoso della sicurezza informatica”, lo spoofing e l’uso improprio delle e-mail aziendali, secondo l’FBI dal 2016, ha causato perdite a livello mondiale pari a 26 miliardi di dollari.
Attacchi di questa natura sono particolarmente pericolosi perché, se abbastanza convincenti, possono aggirare le migliori strategie di sicurezza. Per potersi difendere da queste minacce è fondamentale che i dipendenti, a ogni livello, le conoscano e sappiano come reagire.
Indice degli argomenti
Truffe via e-mail: comprendere le motivazioni degli aggressori
Le organizzazioni affrontano tipicamente due tipi di attacchi BEC. Nella sua forma più semplice, il criminal hacker copia l’identità di un account e-mail per convincere il destinatario a spostare fondi su un conto bancario fraudolento. Le e-mail contraffatte appartengono a manager con potere decisionale, ad esempio il CFO, l’ufficio amministrativo di un fornitore o un collaboratore esterno di fiducia, come l’avvocato aziendale.
Nella versione più pericolosa, l’aggressore ottiene il completo accesso a un account e-mail legittimo e lo utilizza per truffare l’organizzazione. Questo approccio è potenzialmente molto più dannoso in quanto offre l’accesso a un’ampia gamma di informazioni interne che possono essere utilizzate per rendere molto più convincente qualsiasi richiesta.
Una delle varianti più comuni delle truffe BEC è la fatturazione fasulla. In questo caso, un aggressore falsifica o ruba l’indirizzo e-mail di un fornitore o di un CEO per richiedere una modifica dei dettagli di pagamento. Se l’indirizzo e-mail è compromesso, la fattura potrebbe addirittura essere autentica, alzando le probabilità di successo dell’attacco.
Gli aggressori adottano una serie di tattiche di ingegneria sociale per convincere i dipendenti a consegnare loro somme di denaro che possono essere ingenti. Circa un terzo delle e-mail BEC viene inviato il lunedì, ritenuto il giorno con la più elevata possibilità di commettere un errore da parte di un dipendente.
Un altro approccio che sta guadagnando popolarità, con un aumento del 50% rispetto all’anno precedente, è il “Fake Forwarding“. Oltre a includere Re: o Fwd: nell’oggetto, questo metodo di attacco di solito comprende uno scambio di e-mail fasulle per aumentare la credibilità.
Si utilizza inoltre la tattica di sfruttare informazioni privilegiate per guadagnare fiducia. Le informazioni vengono estratte dall’email di un account compromesso o tramite ricerche di dati pubblici.
Uno dei casi più famosi riguarda la squadra di calcio della Lazio, che a marzo 2018, ha pagato l’ultima rata per l’acquisto del giocatore De Vrij, 2 milioni di euro, su un conto bancario diverso da quello indicato dal club olandese del Feyenoord.
Truffe via e-mail: comprendere le vittime
Purtroppo, le truffe di questo tipo stanno diventando sempre più comuni. L’anno scorso si è registrato un aumento del 58% degli attacchi BEC, con una tendenza che ci aspettiamo continui.
Più questi attacchi diventano frequenti e sofisticati, più i dipendenti devono essere in grado di difendersi. La soluzione è la creazione di una cultura della sicurezza a ogni livello dell’organizzazione. Questo obiettivo può essere raggiunto solo se si comprende il pensiero del target che viene attaccato.
Tradizionalmente erano i manager C-level. Quanto più autorevole è un’e-mail contraffatta o compromessa, tanto più è convincente. Tuttavia, gli aggressori sono consci che tali account sono più difficili da rubare e, hanno quindi rivolto l’attenzione a chi si trova più in basso nell’organigramma aziendale.
Oggi stiamo rilevando una correlazione tra il job title e l’esposizione agli attacchi. Più basso è il livello del dipendente, più è probabile che ne sia vittima, nessuno è al sicuro: dal dirigente ai singoli collaboratori.
Le e-mail fraudolente inviate da account di dipendenti di livello inferiore hanno un ritorno economico meno elevato, ma è più probabile che abbiano successo e inoltre, a questo livello gli attacchi hanno maggiori probabilità di passare inosservati.
Un dipendente junior di un fornitore può ad esempio richiedere una modifica dei dettagli di pagamento su una fattura. Allo stesso modo, un dipendente di qualsiasi livello può inviare un’e-mail alle Risorse Umane per modificare i propri dati bancari per il versamento dello stipendio.
La strategia di difesa in profondità
È quasi impossibile proteggersi da una e-mail che a prima vista sembra autentica. Non si può chiedere ai dipendenti di non fidarsi di nessuno, quindi le aziende come possono difendersi?
La risposta non è nuova, ma è un concetto ancora poco diffuso: la difesa in profondità (Defense in Depth).
Si inizia con le basi: controlli tecnici, condotti in particolare sugli account di posta elettronica e cloud. Utilizzo da parte dei dipendenti di password uniche e difficili da decifrare e che utilizzino, ove possibile, l’autenticazione a due fattori.
Il passo successivo è, probabilmente, il più importante: la formazione dei dipendenti, che deve andare oltre la semplice preparazione su come individuare gli attacchi. L’obiettivo è quello di creare una cultura in cui la sicurezza informatica sia una priorità per tutti, non solo del reparto IT o cybersec.
La formazione dovrebbe essere regolare, completa e coprire una serie di argomenti, dalle motivazioni e dinamiche che stanno dietro un attacco, a come semplici comportamenti – riutilizzo di password, scarsa protezione dei dati ecc. – possono essere altamente pericolosi.
Infine, mettere in atto policy relative a determinate richieste e assicurarsi che tutti in azienda siano consapevoli che la posta elettronica non è un metodo di comunicazione così affidabile. In breve, qualsiasi interazione che potrebbe avere conseguenze economiche non dovrebbe avvenire esclusivamente via e-mail.
Le richieste di accelerare i pagamenti o di modificarne i dettagli dovrebbero essere verificate in modo indipendente tramite un altro canale. È un tassello ulteriore da aggiungere ai processi, ma forse quello decisivo per bloccare un attacco informatico.
