Che cos’è la truffa BEC, Business Email Compromise

Truffa BEC, la nuova frontiera del crimine finanziario online

Ma cos’è, esattamente, una truffa BEC? E come funziona?

La Business Email Compromise (BEC), nota anche come compromissione della posta elettronica aziendale, non è altro che un attacco informatico. Purtroppo, a differenza dei messaggi spam e del classico phishing, è più difficile da individuare a colpo d’occhio. La truffa BEC si basa infatti su una comunicazione personalizzata e costruita su misura per la vittima.

Gli attacchi basati sulla BEC vengono messi a segno dopo uno studio attento della struttura aziendale. I cybercriminali studiano attentamente le informazioni pubbliche di un’azienda e, successivamente, creano indirizzi email o di dominio simili a quelli aziendali.
In questo modo, la comunicazione sarà credibile: la vittima crederà cioè di interagire con una persona interna all’impresa. Gli hacker invieranno in seguito un messaggio credibile e urgente, chiedendo un pagamento o dati sensibili.

Spear phishing: in cosa consiste questo attacco informatico

La truffa BEC può essere ricondotta all’ambito dello spear phishing, una particolare tipologia di attacco di phishing. In questo caso, la truffa è personalizzata, in quanto di solito viene organizzata per colpire un individuo o un gruppo specifico. La personalizzazione permette ai cybercriminali di andare a segno, inducendo la vittima a fornire dati o denaro o, in alcuni casi, a scaricare malware.

Nel caso di un attacco di spear phishing, gli hacker costruiscono sapientemente uno scenario truffaldino. La vittima viene manipolata e indotta a credere alla storia falsa. Segnaliamo inoltre che questo attacco può utilizzare come veicolo le email, ma anche chat, messaggi o chiamate telefoniche.

Truffa via e-mail: le caratteristiche di un attacco BEC

L’attacco BEC, come abbiamo anticipato, di solito utilizza domini o indirizzi email che sembrano legittimi.
Quando la truffa avviene via email, viene creato un indirizzo di posta elettronica simile a quello aziendale per indurre la vittima a credere di interagire con una persona interna all’azienda.

I cybercriminali, per una truffa BEC, spesso sfruttano lo spoofing: falsificano cioè l’indirizzo email per ingannare non solo la persona, ma anche i sistemi operativi. In questo modo, dopo la falsificazione, l’email sembrerà realmente proveniente da un contatto fidato.

Business Email Compromise (BEC), la truffa alla Zecca dello Stato

La truffa BEC può colpire sia le aziende private che gli enti pubblici, come testimonia il recente attacco, che si è verificato nel maggio scorso ai danni della Zecca dello Stato italiana.
Stando a quanto ricostruito dai quotidiani nazionali, i cybercriminali sono riusciti a intercettare le comunicazioni tra fornitori esteri e Zecca. Hanno successivamente creato un falso dominio quasi identico a quello di un fornitore, con relativo indirizzo email.
Grazie a questo indirizzo, gli hacker sono riusciti a convincere i funzionari a effettuare un bonifico milionario. Ovviamente, il denaro non è stato trasferito sul conto del reale fornitore, ma su quello dei cybercriminali.

La truffa BEC ai danni della Zecca messo a rischio 3 milioni di euro: l’intervento della Polizia Postale di Roma, comunque, ha arginato i danni. 50.000 euro sono comunque finiti nelle mani dei truffatori.

Tipi di truffe BEC: la compromissione della posta elettronica aziendale

Non esiste un’unica tipologia di truffa BEC, il che complica ancora di più le cose. Tra le principali tipologie di Business Email Compromise troviamo:

• frode del CEO, o CEO fraud, nella quale i cybercriminali si spacciano per dirigenti aziendali. In questi casi, spesso ad essere colpito è il reparto contabilità: ai dipendenti viene richiesto un bonifico urgente, spesso in periodi in cui la pressione lavorativa è alta;
• compromissione dell’account dei fornitori, in cui di solito è il fornitore ad essere preso di mira. Gli hacker, in questi casi, inviano fatture ai clienti abituali di un’azienda. Questi, ovviamente, non nutrono sospetti e finiscono col pagare la fattura, che sembra reale;
• compromissione della posta interna, una situazione per cui viene falsificato un account email interno. L’account di un reale dipendente può essere usato per contattare colleghi o clienti, inviando richieste di dati o di denaro;
• attacco per il furto di dati, che viene ordito per rubare informazioni sensibili. Non tutti gli attacchi BEC, infatti, mirano al denaro. Spesso designano come vittime i dipendenti HR o dei servizi finanziari per estrapolare dati da rivendere sul Dark Web o da utilizzare per ordire truffe ancora più sofisticate.

In ogni caso, il denominatore comune della truffa BEC è uno solo: la manipolazione dell’identità e della fiducia. L’attacco BEC, in base a quanto visto fino ad ora, può colpire chiunque: dal dipendente al direttore generale.

Truffa BEC e cybersecurity: come difendersi

Conoscere le caratteristiche della truffa BEC, per fortuna, può aiutare aziende e dipendenti a evitare questo genere di frode informatica.
Gli esperti di cybersecurity consigliano innanzitutto di diffidare di richieste urgenti, insolite o a scadenza molto breve. Inoltre, bisogna prestare attenzione a ogni variazione, anche minima, dell’indirizzo email. A volte anche un trattino, una lettera o un dominio differenze possono destare sospetti.

Anche prestare attenzione a cambiamenti alle coordinate bancarie o ai metodi di pagamento può essere d’aiuto. In caso di dubbi, meglio effettuare verifiche interne di persona o mediante una telefonata per accertarsi, anche quando l’email sembra provenire da fonti affidabili.

Le aziende, infine, dovrebbero investire in formazione dei dipendenti, in modo che questi ultimi siano allenati a riconoscere i potenziali pericoli informatici.