Truffe via mail: la Business Email Compromise

Oggi la maggior parte delle truffe informatiche sono realizzate utilizzando l’email, uno strumento diffuso ma con quale risulta molto facile applicare le tecniche del Social Engineering ed il phishing. Ma la truffa che oggi sta mietendo più vittime (soprattutto in termini economici!) è la Business Email Compromise (BEC).

In questo articolo, scritto per CYBERSECURITY360, la testata del Network Digital 360 specializzata nella Cybersecurity, spiego che cosa è la Business Email Compromise. E che cosa è  lo Spoofing, anche questa tecnica molto utilizzata per ingannare gli utenti (spesso poco attenti!)  con e-mail false con le quali si riescono a  colpire organizzazioni di ogni dimensione e pubbliche amministrazioni.

 La dimensione del fenomeno BEC

Questa truffa ha assunto proporzioni talmente importanti che di essa si occupa anche il Federal Bureau of Investigation (la ben nota FBI), che con il suo Internet Crime Complaint Center (IC3) redige annualmente un rapporto che ci mostra i danni generati dalla BEC nel mondo.
Oggi i numeri della BEC sono impressionanti: nel periodo tra ottobre 2013 e maggio 2018 i danni subiti dalle aziende di tutto il mondo sono arrivati all’astronomica cifra di 12.536.948.299 USD (fonte FBI).
Nell’ultimo rapporto IC3 di settembre 2019, il numero è cresciuto fino a 26.201.775.589 USD (oltre 26 miliardi di dollari!) e nell’ultimo anno, tra il maggio 2018 e il luglio 2019, si è registrato un aumento del 100% delle perdite rispetto all’intero periodo precedente.
Soldi rubati alle aziende e finiti in conti di abili truffatori. Secondo FBI le principali destinazioni di questo imponente flusso di denaro sono Cina ed Hong Kong. Si sono registrati trasferimenti fraudolenti anche verso Regno Unito, Messico, Turchia ed almeno altri 140 paesi.

Secondo un’analisi di Symantec, l’Italia, con circa 400 aziende colpite al giorno, è al secondo posto dopo gli Stati Uniti per numero di attacchi di questo tipo. Si ritiene che il numero sia ancora maggiore, perché molte delle aziende colpite sceglie di non dichiarare l’attacco, rendendo così questo numero inferiore alla realtà.
Un altro studio eseguito in Gran Bretagna nel 2018 denuncia un aumento del 58% della BEC in un solo anno e rileva che:

  • La perdita media per un’azienda è stata di 27.000 sterline.
  • Il 53% degli intervistati ha dichiarato di aver sperimentato truffatori che si fingono il loro capo (CEO fraud).
  • Il 52% ha dichiarato di aver sperimentato truffatori che si spacciavano per fornitori (The Man in the Mail).
  • Il 37% dei dipendenti ha ammesso di non sapere cosa cercare in un’e-mail fraudolenta o di non aver adottato misure di sicurezza.
  • Solo il 20% delle vittime ha detto che ci pensa due volte quando riceve richieste del genere sul lavoro.

Le varianti della BEC: “CEO fraud” e “The Man in the Mail”

Questa truffa si declina in diverse modalità, il citato Rapporto FBI-IC3 indica cinque differenti scenari (ne parlo più in dettaglio questo articolo). I  due più diffusi sono:

  1. “CEO Fraud” o “Business Executive Scam”: una richiesta di bonifico bancario viene inviata dall’account compromesso di un dirigente aziendale di alto livello (CEO o Chief Financial Officer) ad un dipendente all’interno dell’azienda che è in genere responsabile dell’elaborazione di tali richieste. È la variante di phishing definita anche “whaling”, perché punta al “pesce grosso”.
  2. “The Man in the Mail”: opera nel business tra cliente e fornitore. Viene definita anche “Bogus Invoice Scheme” “Supplier Swindle” o “Invoice Modification Scheme”. La illustriamo più in dettaglio, perché ha un’elevatissima frequenza di accadimento: posso dire che nella mia attività di consulente, praticamente tutte le aziende hanno in qualche modo avuto a che fare con la truffa “The Man in the Mail”. Tutte hanno subito almeno un tentativo d’attacco: qualcuna è riuscita a riconoscerlo e bloccarlo, ma molte altre ci sono cadute ed hanno subito danni economici di decine o anche centinaia di migliaia di euro.

Come funziona la truffa “The Man in the Mail”

É tanto semplice quanto efficace:

  • Il malvivente studia le comunicazioni dell’azienda, la carta intestata, le firme dei responsabili, lo stile della corrispondenza. Scopre i ruoli aziendali, individuando – per esempio – chi è preposto ad eseguire i pagamenti ai fornitori.
  • Cerca di violare la casella di posta, quella del mittente oppure quella del destinatario, mediante tecniche diverse, ma ugualmente efficaci: phishing, social engineering, furto delle credenziali o attacco “brute force”.
  • Poi si inserisce in conversazioni già in corso comunicando, alla persona giusta dell’azienda, coordinate bancarie diverse su cui eseguire i pagamenti. Per fare questo può falsificare il mittente dell’email (con la tecnica definita “spoofing”), oppure usare un indirizzo e-mail appena diverso, o – ancora meglio – accedendo direttamente all’email violata.
  • In alcuni casi, se ha accesso alla corrispondenza tra cliente e fornitore, riesce anche a richiamare numeri d’ordine o fatture realmente emesse. 
  • Il risultato è che l’azienda cliente (quella che deve pagare) si vede arrivare un messaggio credibile o addirittura contenente una fattura confezionata con la grafica uguale a quella vera (che l’hacker ha copiato), che indica di eseguire il pagamento su un conto diverso dal solito. E probabilmente lo eseguirà senza farsi troppe domande…
  • Se l’attaccante non riesce a violare le caselle di posta, può comunque tentare ugualmente, magari inviando alla persona giusta una banale comunicazione nella quale è scritto semplicemente: “Gentile cliente, la invitiamo a prendere nota che abbiamo variato la banca d’appoggio. Il nuovo Iban su cui eseguire il pagamento delle fatture è ….”. Un’email del genere non sarà bloccata da nessun antispam, perché non contiene nulla di virale: a quel punto tutto è nelle mani (e nella testa!) di chi riceve l’email.

Spesso, purtroppo, funziona!

E come sempre l’anello debole della sicurezza è il fattore umano, che per inconsapevolezza e disattenzione cade nella trappola abilmente tesa dai cybercriminali.

Come difendersi dalla Business E-mail Compromise

In fondo la BEC ha le caratteristiche di una truffa classica, dove la tecnologia è soltanto un mezzo nuovo per portare a termine raggiri vecchi.

Ma se la si conosce, se sappiamo che esiste, possiamo scongiurarla con semplici accorgimenti da adottare in azienda:

  • Proteggere le caselle di posta: usare credenziali di accesso alle mail robuste e sicure, quindi impostare una corretta gestione delle password (anche in questo caso le password sono importanti!).
  • Non utilizzare in azienda indirizzi e-mail pubblici basati su webmail (Gmail, Hotmail, ecc.), perché sono più facilmente accessibili ed attaccabili. Preferire le caselle email a proprio dominio.
  • Leggere le mail con attenzione, soprattutto quelle che si riferiscono a pagamenti. 
  • Controllare bene il mittente delle e-mail: un dettaglio (anche solo una lettera!) potrebbe fare la differenza. 
  • Nel dubbio fare verifiche con canali di comunicazione diversi e sicuri. È cioè molto importante non chiedere la conferma allo stesso indirizzo, perché ci risponderebbe il truffatore. Contattare il mittente utilizzando piuttosto il telefono, oppure un altro indirizzo e-mail della cui credibilità siamo certi.
  • Adottare in azienda processi di controllo rigorosi con separazione dei ruoli (Segregation of Duties), per evitare che sulla stessa persona ricadano le responsabilità di autorizzazione, esecuzione e verifica dei pagamenti.
  • Implementare policy e strumenti aziendali per la verifica e l’approvazione di qualsiasi cambiamento delle informazioni di pagamento, come l’aggiornamento degli IBAN.
  • Utilizzare sistemi di posta elettronica con sistemi antispam avanzati che consentano di verificare sempre l’autenticità e l’integrità delle email. Ne parliamo in questo capitolo.
  • Ove possibile privilegiare la PEC (Posta Elettronica Certificata), che già garantisce nativamente autenticità e integrità dei messaggi. Purtroppo la PEC è uno standard presente solo in Italia, quindi non utilizzabile con clienti e fornitori stranieri.
  • E soprattutto è importante avere la consapevolezza (“awareness”) dell’esistenza di questo tipo di truffa: se non la conosciamo, la probabilità di cascarci diventa molto alta. Quindi è vitale prevedere piani periodici di formazione per il personale, affinché sia in grado di riconoscere le più evolute forme di BEC.

Ed infine, anche in questo caso va applicata la regola aurea della Cybersecurity: ZERO TRUST (“fidarsi è bene, non fidarsi è meglio!”). 

In pratica è necessario invertire la relazione di fiducia: ogni comunicazione è potenzialmente malevola, fino a prova contraria.

Business E-mail Compromise: la variante con il Vishing

I cybercriminali operano ormai come vere e proprie azienda, spesso anche evolute e non trascurano R&D (Ricerca e Sviluppo). Visto il successo della BEC, si sono inventati altre tecniche per metterla in pratica. Si stanno registrando casi (più di uno!) dove l’uso delle email (quindi il Phishing) è stato sostituito dal Vishing.

Cosa è il VISHING: si definisce Vishing il “phishing vocale”. La parola è una crasi tra Voice e Phishing ed indica una truffa telefonica. 

L’attaccante utilizza sempre tecniche di social engineering, ma invece che con email, queste vengono messe in pratica con telefonate e/o call conference. 

É famoso il caso accaduto a fine 2018 alla filiale indiana di Tecnimont, del gruppo italiano Maire Tecnimont, alla quale gruppo di hacker (probabilmente cinesi?) ha sottratto 1,3 miliardi di rupie (circa 16 milioni di euro) attraverso una frode tipo BEC ma realizzata con tecniche più sofisticate.

Il meccanismo della truffa: con finte email nelle quali veniva impersonificato l’amministratore delegato di Tecnimont SpA, il capo della controllata indiana del gruppo riceveva l’ordine di effettuare tre bonifici all’estero per complessivi 18,6 milioni di dollari. Questi erano necessari per completare un’operazione finanziaria segretissima di cui non avrebbe dovuto parlare con nessuno, tranne che con un fantomatico avvocato di Ginevra. Per rendere l’ordine ancora più credibile veniva convocata (attraverso un’email!) una conference call, nella quale i responsabili indiani hanno creduto di parlare con i loro superiori in Italia. Ed hanno eseguito i tre bonifici verso banche di Hong Kong, dove – ovviamente – sono stati fatti rapidamente sparire.

Un altro caso, di minori proporzioni, ma nel quale il vishing è stato applicato in modo molto evoluto: è successo nel marzo 2019 ad un’azienda britannica del settore energetico. 

Il meccanismo della truffa: l’amministratore delegato della controllata nel Regno Unito ha ricevuto una telefonata da quello che ha creduto fosse l’amministratore delegato della casa madre tedesca. Questi gli ordinava il trasferimento urgente (entro un’ora) di 220mila euro sul conto di un fantomatico fornitore ungherese.
In realtà era un vishing: gli abili truffatori sono riusciti a ricreare la voce dell’amministratore tedesco facendo un collage di diverse registrazioni ed utilizzando software basati sull’intelligenza artificiale (AI).
Secondo la compagnia assicurativa Euler Hermes, che ha risarcito l’intero importo della truffa, si è trattato del primo caso in Europa di attacco informatico “Voice-spoofing” nel quale i criminali hanno utilizzato l’AI.


Nell’articolo scritto per cybersecurity360.it illustro ulteriori dettagli per riconoscere la Business Email Compromise e spiego anche che cosa è lo Spoofing: sapere che queste tecniche esistono e come operano è il modo migliore per evitarle. Un possibile strumento è la posta crittografata PGP (Pretty Good Privacy). Si tratta di uno standard per le e-mail criptate che purtroppo in Italia è poco conosciuto ed ancor meno utilizzato. Ne illustro il funzionamento nella seconda parte dell’articolo, con alcuni semplici consigli affinché tutti la possano usare.

In questo link si trova il testo completo dell’articolo sul sito di Cybersecurity360.it.

Ho trattato la Business Email Compromise anche in questo articolo “L’email non è uno strumento sicuro: dalla Business Email Compromise allo Spoofingche ho scritto per la testata ICT Security Magazine.


© Copyright 2019 Giorgio Sbaraglia
All rights reserved.


Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.

Lascia un commento