Business email compromise email received Giacomo Lanzi

Schemi di business email compromise (BEC)

Estimated reading time: 7 minuti

Negli anni, i truffatori hanno rubato milioni di dollari alle imprese compromettendo i loro account di posta ufficiali utilizzandoli per richiedere bonifici fraudolenti. Tecnicamente questi schemi, che sono a tutti gli effetti delle truffe, si chiamano Business Email Compromise.

C’è stato un aumento delle intrusioni informatiche legate agli schemi di Business Email Compromise, che coinvolgono truffatori che si spacciano per dirigenti. Il contatto avviene inviando e-mail di phishing da fonti apparentemente legittime e vengono poi richiesti bonifici a conti fraudolenti. Questi metodi alla fine portano all’intrusione e all’accesso illimitato alle credenziali delle loro vittime.

Cosa si intende per Business Email Compromise?

L’FBI definisce il Business Email Compromise (BEC) come una truffa sofisticata che prende di mira le aziende che lavorano con fornitori stranieri e le aziende che eseguono regolarmente pagamenti tramite bonifico bancario. Precedentemente noti come truffe Man-in-the-Email, questi schemi compromettono gli account email ufficiali delle aziende per condurre trasferimenti di fondi non autorizzati.

Secondo l’FBI, le vittime hanno perso più 750 milioni di dollari e hanno colpito più di 7.000 persone tra ottobre 2013 e agosto 2015. A livello globale, i criminali informatici hanno truffato più di 50 milioni di dollari da vittime in paesi non americani.

Business email compromise email received

Come funziona?

Le truffe BEC spesso iniziano con un aggressore che compromette l’account di posta elettronica di un dirigente d’azienda o una qualsiasi email aziendale elencata pubblicamente. Solitamente questo avviene usando un keylogger o dei metodi di phishing, in cui gli aggressori creano un dominio che è simile a quello aziendale che stanno prendendo di mira. In altri casi, un’email falsificata che inganna il bersaglio a fornire i dettagli dell’account è sufficiente.

Dopo aver monitorato l’account e-mail compromesso, il truffatore cercherà di determinare chi avvia i bonifici e chi li richiede. I truffatori spesso eseguono una discreta quantità di ricerche, cercando una società che ha avuto un cambio di leadership nella dirigenza della funzione finanziaria, in cui i dirigenti sono in viaggio, o conducono conference call per gli investitori. Gli aggressori usano queste come opportunità per eseguire lo schema.

A questo punto, l’attacco si può svolgere in vari modi.

Versione 1: La fattura fasulla

Questa versione, che è stata anche chiamata “The Bogus Invoice Scheme“, “The Supplier Swindle“, e “Invoice Modification Scheme“, di solito coinvolge un’azienda che ha un rapporto stabile con un fornitore. Il truffatore chiede di trasferire i fondi per il pagamento della fattura su un conto alternativo e fraudolento tramite e-mail, telefono o fax.

Versione 2: Frode del CEO

In questa versione, i truffatori si identificano come dirigenti di alto livello (CFO, CEO, CTO, ecc.), avvocati o altri tipi di rappresentanti legali e pretendono di gestire questioni riservate o urgenti e richiedono di effettuare un bonifico bancario su un conto che controllano. In alcuni casi, la richiesta fraudolenta di bonifico è inviata direttamente all’istituto finanziario con le istruzioni di inviare urgentemente i fondi a un altro istituto. Questa truffa è anche conosciuta come “CEO Fraud“, “Business Executive Scam“, “Masquerading“, e “Financial Industry Wire Frauds“.

Versione 3: Compromissione dell’account

Simile alle altre due versioni, un account di posta elettronica di un dipendente viene violato e poi usato per fare richieste di pagamento di fatture a conti bancari controllati dai truffatori. I messaggi sono inviati a più fornitori identificati dalla lista dei contatti del dipendente. L’azienda potrebbe non rendersi conto dello schema fino a quando i loro fornitori non eseguono controlli sullo stato del pagamento della fattura.

Versione 4: Il finto avvocato

In questa versione, il cyber criminale contatta i dipendenti e/o l’amministratore delegato dell’azienda e si identifica come avvocato o rappresentante di uno studio legale, sostenendo di gestire questioni riservate e urgenti. Questo contatto, tipicamente fatto via telefono o e-mail, spinge la parte contattata ad agire rapidamente o segretamente nella gestione del trasferimento di fondi.

Questo tipo di schema di Business Email Compromise può essere programmato per verificarsi alla fine della giornata o della settimana lavorativa, quando i dipendenti si preparano a chiudere e quindi sono particolarmente sensibili a una situazione di emergenza.

Versione 5: Il furto di dati

Questo schema coinvolge email di dipendenti con ruoli specifici nell’azienda utilizzati per inviare richieste. Questa volta, però, le richieste non sono per trasferimenti di fondi ma per informazioni personali identificabili di altri dipendenti e dirigenti. Questa variante può quindi servire come punto di partenza per attacchi BEC più elaborati e dannosi contro l’azienda.

La truffa si basa principalmente sull’ingegneria sociale e in genere non ha bisogno di una sofisticata penetrazione del sistema. A differenza delle truffe di phishing, le e-mail utilizzate nelle truffe BEC non sono inviate in massa per evitare di essere segnalate come spam. Le vittime sono indotte con l’inganno a fare i trasferimenti, di solito istruite ad agire rapidamente e in modo confidenziale durante il trasferimento dei fondi.

Business email compromise phishing

Alcuni casi noti

Nel marzo 2016, un numero crescente di società e imprese hanno subito danni da schemi di BEC. Aziende come Seagate e Snapchat sono state tra le imprese vittime di truffe via email che utilizzano lo stesso modus operandi. Alla fine dello stesso mese, la Pivotal Software, società con sede a San Francisco, è stata violata attraverso uno schema di phishing che ha fatto trapelare un numero imprecisato di informazioni fiscali dei dipendenti.

La violazione è stata avviata da una e-mail che sembrava provenire dal CEO della società Rob Mee, che richiedeva informazioni sul personale della società. Questo ha portato alla consegna delle informazioni W-2 dei dipendenti. Queste informazioni includevano indirizzi, dettagli sul reddito dell’anno precedente, numeri di previdenza sociale e di identificazione del contribuente individuale. Il destinatario dei dati, neanche a dirlo, non era autorizzato a richiedere o ricevere dati di questa natura.

Non molto tempo dopo questo incidente, schemi simili sono stati utilizzati per ottenere informazioni personali nel settore dell’istruzione. Sono trapelate informazioni W-2 di 3.000 dipendenti del Tidewater Community College, in Virginia. L’evento è stato scatenato da un messaggio di richiesta dal preside della Kentucky State University, ricevuto da uno dei membri del personale della scuola. La richiesta ha spinto il personale a trasmettere una lista di dipendenti e studenti insieme alle informazioni W-2.

Le truffe che coinvolgono il furto di informazioni personali tramite e-mail di phishing hanno dimostrato di essere una fonte di dati inesauribile. I dati rubati potrebbero essere venduti ed essere utilizzati anche per mettere in scena futuri attacchi o furti di identità. Come si è visto nelle recenti e precedenti truffe fiscali, le truffe via e-mail sono diventate uno dei metodi più veloci per ingannare gli utenti inconsapevoli.

Business email compromise

Come difendersi?

Il consiglio è sempre il solito: rimanere vigili ed educare i dipendenti su come evitare di essere vittime di truffe BEC e altri attacchi di phishing.

È importante sapere che i criminali informatici non si preoccupano delle dimensioni della vostra azienda. Anzi, solitamente, più vittime ci sono, meglio è. Questo tipo di truffatori non hanno bisogno di essere altamente tecnici in quanto possono trovare strumenti e servizi che soddisfano tutti i livelli di competenza tecnica nel deep web. Dato che il mondo si affida sempre più a servizi in cloud e in generale collegati tra loro, un singolo account compromesso è tutto ciò che può servire per ottenere ingenti quantità di denaro o dati da un’azienda.

Alcuni suggerimenti

  • Esaminare attentamente tutte le e-mail. Diffida delle e-mail inviate dai dirigenti aziendali, in quanto sono spesso utilizzate per ingannare i dipendenti ad agire con urgenza. Esaminare le e-mail che richiedono il trasferimento di fondi per determinare se le richieste sono irregolari.
  • Educare e formare i dipendenti. Mentre i dipendenti sono la più grande risorsa di un’azienda, di solito sono anche l’anello più debole quando si tratta di sicurezza. Impegnatevi a formare i dipendenti secondo le migliori pratiche dell’azienda. Ricorda loro che aderire alle politiche aziendali è una cosa, ma sviluppare buone abitudini di sicurezza è un’altra. Per questo offriamo un servizio di phishing etico orientato proprio all’educazione contro gli schemi Business Email Compromise e il phishing in generale.
  • Rimanete aggiornati sulle abitudini dei clienti, compresi i dettagli e le ragioni dei pagamenti.
  • Se sospetti di essere stato vittima di un’e-mail BEC, segnala immediatamente l’incidente alle forze dell’ordine. Inoltre, allerta la tua azienda così che possa alzare la guardia e stringere i controlli.

SOD può aiutarti a formare i tuoi dipendenti. Scopri come contattandoci, saremo lieti di rispondere a ogni dubbio.

Contattaci

Useful links:

Condividi


RSS

RSS feed

Piu’ articoli…

Categorie …

Tags

Acronis Acronis Active Protection Acronis backup Acronis Cloud Backup Acronis Cyber Cloud BaaS Backup Backup as a Service Cloud Conference cloud server cyber security cyber threat Cyber Threat Hunter Dati aziendali EDR GDPR Machine Learning Monitoraggio infrastruttura ICT Next Generation SIEM nextgen siem Nuovo Regolamento Europeo Privacy owncloud pentest Phishing Plesk privacy Ransomware Regolamento Europeo per la Protezione dei Dati server virtuale servizi cloud sicurezza sicurezza web siem Smart Working SOAR SOCaaS SOCaaS[EDR] template Threat intelligence UEBA VDS Virtual Machine vps vulnerability assessment Zabbix

RSS Feed sconosciuto

RSS Feed sconosciuto

RSS Full Disclosure

  • MitM attack against OpenSSH's VerifyHostKeyDNS-enabled client Febbraio 21, 2025
    Posted by Qualys Security Advisory via Fulldisclosure on Feb 20Qualys Security Advisory CVE-2025-26465: MitM attack against OpenSSH's VerifyHostKeyDNS-enabled client CVE-2025-26466: DoS attack against OpenSSH's client and server ======================================================================== Contents ======================================================================== Summary Background Experiments Results MitM attack against OpenSSH's VerifyHostKeyDNS-enabled client DoS...
  • Self Stored XSS - acp2sev7.2.2 Febbraio 21, 2025
    Posted by Andrey Stoykov on Feb 20# Exploit Title: Self Stored XSS - acp2sev7.2.2 # Date: 02/2025 # Exploit Author: Andrey Stoykov # Version: 7.2.2 # Tested on: Ubuntu 22.04 # Blog: https://msecureltd.blogspot.com/2025/02/friday-fun-pentest-series-19-self.html Self Stored XSS #1: Steps to Reproduce: 1. Visit "http://192.168.58.168/acp2se/mul/muladmin.php" and login with "admin" / "adminpass" 2. In the field "Put the […]
  • Python's official documentation contains textbook example of insecure code (XSS) Febbraio 21, 2025
    Posted by Georgi Guninski on Feb 20Python's official documentation contains textbook example of insecure code (XSS) Date: 2025-02-18 Author: Georgi Guninski === form = cgi.FieldStorage() if "name" not in form or "addr" not in form: print("Error") print("Please fill in the name and addr fields.") return print("name:", form["name"].value) print("addr:",...
  • Re: Netgear Router Administrative Web Interface Lacks Transport Encryption By Default Febbraio 18, 2025
    Posted by Gynvael Coldwind on Feb 17Hi, This isn't really a problem a vendor can solve in firmware (apart from offering configuration via cloud, which has its own issues). Even if they would enable TLS/SSL by default, it would just give one a false sense of security, since: - the certificates would be invalid (public […]
  • Monero 18.3.4 zero-day DoS vulnerability has been dropped publicly on social network. Febbraio 16, 2025
    Posted by upper.underflow via Fulldisclosure on Feb 16Hello, About an hour ago, a group appearing to be named WyRCV2 posted a note on the nostr social network, which can be found at the following link: https://primal.net/e/note1vzh0mj9rcxax9cgcdapupyxeehjprd68gd9kk9wrv939m8knulrs4780x7 Save, share, use. The paste link includes a list of nodes that the attacker has instructed to target, along […]
  • Netgear Router Administrative Web Interface Lacks Transport Encryption By Default Febbraio 16, 2025
    Posted by Ryan Delaney via Fulldisclosure on Feb 16
  • [CVE-2024-54756] GZDoom <= 4.13.1 Arbitrary Code Execution via Malicious ZScript Febbraio 16, 2025
    Posted by Gabriel Valachi via Fulldisclosure on Feb 15In GZDoom 4.13.1 and below, there is a vulnerability involving array sizes in ZScript, the game engine&apos;s primary scripting language. It is possible to dynamically allocate an array of 1073741823 dwords, permitting access to the rest of the heap from the start of the array and causing […]
  • Re: Text injection on https://www.google.com/sorry/index via ?q parameter (no XSS) Febbraio 16, 2025
    Posted by David Fifield on Feb 15Today at about 2025-02-13 19:00 I noticed the "≠" is back, but now the type 0x12 payload of the ?q query parameter gets formatted into the string representation of an IP address, rather than being copied almost verbatim into the page. If the payload length is 4 bytes, it […]
  • SEC Consult SA-20250211-0 :: Multiple vulnerabilities in Wattsense Bridge Febbraio 13, 2025
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Feb 12SEC Consult Vulnerability Lab Security Advisory < 20250211-0 > ======================================================================= title: Multiple vulnerabilities product: Wattsense - Wattsense Bridge vulnerable version: Wattsense Bridge * Hardware Revision: WSG-EU-SC-14-00, 20230801 * Firmware Revision: Wattsense (Wattsense minimal)...
  • APPLE-SA-02-10-2025-2 iPadOS 17.7.5 Febbraio 11, 2025
    Posted by Apple Product Security via Fulldisclosure on Feb 10APPLE-SA-02-10-2025-2 iPadOS 17.7.5 iPadOS 17.7.5 addresses the following issues. Information about the security content is also available at https://support.apple.com/122173. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. Accessibility Available for: iPad Pro 12.9-inch 2nd generation, iPad Pro 10.5-inch, […]

Customers

Newsletter

{subscription_form_2}
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
Recensioni Google
Secure Online Desktop s.r.l.
4.9
Basato su 37 recensioni
powered by Google
votaci su
Omid Fazeli
06:59 20 Apr 18
They have a lot of solutions for any kind of business. Lower prices than many others. The support service is always active and efficient.
Guarda tutte le recensioni
js_loader
Facebook
Secure Online Desktop s.r.l.
Secure Online Desktop s.r.l.
5.0
Basato su 12 recensioni
powered by Facebook
votaci su
Paolo Raimondi
Paolo Raimondi
11:06 21 Apr 18
La Polimatica Progetti Srl, azienda di... cui sono titolare, collabora con soddisfazione da alcuni anni con Secure Online Desktop. L'Azienda è costituita da professionisti seri e competenti. Insieme a loro abbiamo costruito un sistema organizzato di soluzioni ICT, servizi e attività di consulenza per la compliance alla normativa in materia di protezione dei dati personali (GDPR).leggi di più
Ilaria Miglietta
Ilaria Miglietta
04:16 21 Apr 18
Servizi affidabili e di semplice... utilizzo. I loro tecnici molto attenti alle esigenze del cliente, continuate cosìleggi di più
Francesca Marastoni
Francesca Marastoni
11:41 20 Apr 18
Excellent service company with... wonderful stuff. Highly recommended.

Ottima azienda, servizi molto utili, staff qualificato e competente. Raccomandata!leggi di più
Alessio Liga
Alessio Liga
08:25 20 Apr 18
Servizi di alto livello, competenti e... disponibili a accettare nuove sfide per sviluppare business
Ottimo supportoleggi di più
Matteo Revelli
Matteo Revelli
22:39 19 Apr 18
Ottima azienda, offre servizi di alta... qualità con personale competente e disponibile.leggi di più
Lorenzo Munari
Lorenzo Munari
16:25 19 Apr 18
Azienda molto seria e... affidabile.

E' un piacere poter collaborare con realtà di questo tipoleggi di più
Francisco Amadi
Francisco Amadi
10:41 19 Apr 18
Ho avuto il piacere di collaborare con... loro e spero vivamente che succeda di nuovo. Competenti, professionali, precisi e cordiali!leggi di più
Davide Michelotto
Davide Michelotto
07:42 19 Apr 18
Ottimo servizio, seri professionisti al... timone della società e celerità nei tempi di risposta, oltre ogni aspettativa.leggi di più
Gabriele Petralia
Gabriele Petralia
12:28 18 Apr 18
Luca Prati
Luca Prati
10:12 18 Apr 18
Azienda eccellente, consulenza... customizzata e puntuale.
Un ottimo fornitore.
Io personalmente ho parlato con l' Ing. Venuti, valore aggiunto indubbiamente.leggi di più
Valerio Lezza
Valerio Lezza
21:35 17 Apr 18
Daniela Cospito Di Leo
Daniela Cospito Di Leo
21:20 17 Apr 18
Altre recensioni
js_loader
payments gateway
Contatti