Attacchi Business Email Compromise: rubati 1,3 milioni di dollari

The Florentine Banker Group ha spiato per due mesi le vittime prima di dirottare quattro bonifici di società finanziarie israeliane e britanniche.

Business Vulnerabilità
Un gruppo di cyber criminali conosciuto come The Florentine Banker Group ha lanciato attacchi avanzati di Business Email Compromise contro grandi società finanziarie israeliane e britanniche. Quattro transazioni hanno portato a un bottino di 1,3 milioni di dollari.

La tecnica messa in piedi da questo gruppo criminale è leggermente diversa da quella tradizionale. A identificarla sono stati gli esperti di Check Point Research. In genere i criminali inviano email impersonando un alto dirigente nell'organizzazione vittima. The Florentine Banker Group invece ha rubato le credenziali email e si è nascosto per due mesi prima di deviare bonifici del valore di milioni di dollari.

Grazie all'intervento tempestivo a seguito di una delle azioni, è stato possibile recuperare 600.000 dollari. Il resto, tuttavia, è andato perduto. Questo perché, come spiega Lotem Finkelstein di Check Point, "questi attacchi si verificano rapidamente. Nella maggior parte dei casi, una volta effettuati i bonifici, i soldi sono persi per sempre. I nostri clienti sono quindi stati fortunati a riavere la metà del bottino".
cyber criminaleCheck Point è stata avvantaggiata dal fatto che stava seguendo l'attività di The Florentine Banker Group da almeno sei mesi prima di iniziare a lavorare con le vittime. Queste ultime sono state tre grandi società del settore finanziario britannico e israeliano. Trasferiscono settimanalmente milioni di dollari a partner e fornitori di terze parti.

L'attacco

Il primo atto dei cyber criminali è stato l'invio di email di phishing mirato a due alti funzionari.  La campagna si è protratta per diverse settimane, durante le quali si sono aggiunte occasionalmente nuove persone all'elenco delle potenziali vittime. Alla fine l'obiettivo è stato raggiunto: l'accesso all'account email della vittima. I cyber criminali ne hanno assunto il totale controllo.

A questo punto gli aggressori hanno potuto leggere le email e comprendere i diversi canali utilizzati dalla vittima per effettuare trasferimenti di denaro. Gli attaccanti hanno anche compreso i rapporti della vittima con terze parti come clienti, avvocati, commercialisti, banche. E i ruoli chiave all'interno dell'azienda vittima.

La seconda mossa è stata quindi isolare la vittima creando regole ad hoc per la casella di posta elettronica. In uno dei casi specifici, le email con parole come "fattura", "reso" o "pagamento" sono state archiviate automaticamente in una cartella non utilizzata dalla vittima, come quella RSS. Semplicemente, la vittima non si accorgeva del loro arrivo.
email spam mail envelopeLa terza mossa è stata l'attesa. I cyber criminali non hanno fatto altro che aspettare che venisse inviata una email che autorizzava un bonifico bancario. L'hanno dirottata e hanno cambiato le istruzioni per il bonifico inserendo i dati di un conto corrente che faceva capo a loro.

In uno dei casi monitorati, il titolare di un bonifico suggeriva di utilizzare un conto bancario nel Regno Unito per accelerare il processo. Tuttavia, la società che avrebbe ricevuto il trasferimento di fondi non disponeva di un conto bancario nel Regno Unito. Gli aggressori hanno visto un'opportunità: hanno fornito un conto bancario nel Regno Unito alternativo tramite un'email fasulla e hanno intercettato il pagamento.

Nessuno schema predefinito

Lo schema è ingegnoso perché non esiste. I cyber criminali sorvegliano la vittima e aspettano un'occasione per agire. Occasione che il più delle volte è data dal caso. L'unico schema è quello di partenza: la maggior parte di noi riceve centinaia di e-mail ogni giorno. È molto difficile accorgersi se ne mancano una o due all'appello. Nessuno si accorge di nulla fino a quando il destinatario dei bonifici non chiama per sapere che cos'è successo al pagamento.

Questo tipo di attacchi è più frequente di quanto si pensi. Spesso sono i ransomware a ottenere gli onori della cronaca. Però i BEC sono una delle migliori opportunità per i cyber criminali. L'FBI ha recentemente conteggiato che i BEC hanno portato nelle tasche dei cyber criminali 1,7 miliardi di dollari negli ultimi sei anni. È un'enorme quantità di denaro rispetto ai 144 milioni di dollari incassati con gli attacchi ransomware.

Come proteggersi

Per calmierare i rischi è necessario che le aziende implementino una soluzione di sicurezza aggiuntiva rispetto alla posta elettronica. Non si può fare affidamento solo sulla tecnologia, il fattore umano è imprescindibile. In particolare, nel caso dei bonifici, è imperativo introdurre sempre un secondo fattore di verifica.  L'ideale è una telefonata con l'interlocutore che chiesto di effettuare il trasferimento o con il destinatario. Gli amministratori delegati e i CFO devono effettuare per abitudine telefonare di conferma o al numero diretto dell'ufficio o al numero di cellulare personale delle parti riceventi, e sincerarsi di parlare con le persone giuste.
girl travel beauty woman city phone 1575609 pxhere comÈ inoltre necessario che le aziende tengano corsi di formazione alle persone e introducano l'autenticazione a più fattori.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Come custodire al meglio i dati, dal backup in poi

Speciale

L'esigenza di una nuova cyber security

Speciale

Cloud Security: rischi e tecnologie per mettere in sicurezza il cloud

Speciale

Antimalware nel 2020: parola d'ordine Intelligenza Artificiale

Speciale

Sicurezza delle infrastrutture critiche nel 21mo secolo

Calendario Tutto

Dic 03
Dell Technologies Forum Italia 2020
Dic 10
Grande Slam 2020 Digital Edition

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori