lunedì 5 ottobre 2020
Truffa del CEO: gruppo di cyber criminali guadagna 15 milioni di dollari in pochi mesi
L'alert viene dai ricercatori di sicurezza di Mitiga, azienda di cybersicurezza: un gruppo di cyber attaccanti specializzato in truffe del tipo BEC (Business Email Compromise) è riuscito a racimolare circa 15 milioni di dollari colpendo più di 150 aziende in giro per il mondo in pochissimi mesi. Tutto questo utilizzando sempre lo stesso schema e nonostante gli alert (sia da parte delle Authority nazionali competenti sia da parte di privati) che, pur essendo sempre più ricorrenti, non sono ancora riusciti a creare la giusta consapevolezza intorno a questa tipologia di attacco.
La truffa BEC in breve
Per truffa BEC si intende una tipologia di cyber truffa che viene portata esclusivamente contro aziende. Gli attaccanti falsificano o compromettono gli account aziendali di dirigenti o dipendenti di alto livello che hanno accesso alle finanze aziendali e sono abilitati ad eseguire bonifici bancari, per sfruttarli al fine di far eseguire pagamenti truffaldini. Gli account aziendali vengono compromessi con attacchi di phishing o con keylogger, ma non è affatto raro che vengano anche appositamente creati sfruttando le informazioni personali rintracciabili sul web della persona che gli attaccanti vogliono impersonificare.
Lo schema classico prevede che gli attaccanti inviino dall'account email compromesso / falso di un dirigente (spesso il CEO aziendale) all'account di un dipendente abilitato ad eseguire bonifici, una email in cui viene richiesto di eseguire urgentemente un pagamento verso un soggetto terzo. Il dipendente che non riconosce la truffa, finisce per eseguire bonifici su conti anonimi collegati agli attaccanti e molto spesso è assai difficile, se non quasi impossibile, rintracciare quei soldi.
Una immagine della campagna Anti BEC dell'Interpol
Un caso realmente accaduto: truffato il rappresentante di Confindustria a Bruxelles
Un esempio eclatante, verificatosi un paio di anni fa, ha riguardato Gianfranco Dell'Alba, direttore della delegazione della Confindustria a Bruxelles. L'imprenditore riceve una email al suo indirizzo di posta, il cui mittente era Marcella Panucci. direttore generale di Confindustria e braccio destro dell'allora presidente Boccia. Il messaggio è, circa, questo:
"Caro Gianfranco, dovresti eseguire un bonifico di mezzo milione di euro su questo conto corrente. Non mi chiamare perché sono in giro con il presidente e non posso parlare".
L'email ricevuta era una email cosiddetta di spoofing, cioè inviata da un cyber attaccante che aveva violato in precedenza l'account dal quale è stata inviata l'email a Dell'Alba. Come richiesto, Dell'Alba non ha chiamato per avere conferma e non ha richiesto informazioni aggiuntive, nonostante l'entità della somma richiesta: Dell'Alba esegue il bonifico e i soldi, semplicemente, scompaiono.
La campagna mondiale BEC
Il modus operandi del gruppo individuato da Mitiga è ricorrente: uno schema consolidato che si ripete, per ora immutato, da mesi e che ha colpito aziende in tutto il mondo, Europa compresa, registrando una percentuale di successo altissima.
La prima fase, ovviamente, consiste nella compromissione degli account di posta elettronica: il report in questo caso non spiega le modalità, ma rispetto allo schema di attacco in uso è anche poco importante. Infatti, l'attenzione dei cyber attaccanti si rivolge maggiormente alla fase successiva, ovvero l'impostazione di banali regole di inoltro messaggi: accorgimenti molto semplici che però concedono agli attaccanti di leggere tutti i messaggi ricevuti dalla vittima senza che questa possa sospettare alcun accesso non autorizzato.
Qui inizia una fase di studio e pianificazione molto approfondito, che, in alcuni casi sembra essere durato perfino mesi: lo scopo è quello di riuscire ad approntare un'email quanto più credibile possibile. Gli attaccanti così vagliano il traffico dei messaggi, in cerca dello scambio più interessante con un fornitore o cliente. Una volta individuato, registrano un dominio quanto più simile possibile a quello del cliente/fornitore: i domini individuati fino ad adesso differiscono di una sola lettera rispetto a quelli originali, molto difficili da individuare.
Ecco che l'email originale inviata dal cliente / fornitore viene bloccata e, al suo posto, ne viene inviata una molto simile ma che riporta le coordinate bancarie di un conto controllato dagli attaccanti. Per evitare che altre risposte possano accavallarsi, gli attaccanti impostano una serie di filtri nella casella di posta della vittima, facendo si che eventuali messaggi di risposta finiscano in una cartella nascosta. E' così che eventuali messaggi di richiesta di maggiori informazioni o di conferma delle coordinate bancarie, semplicemente, scompaiono.
Il report spiega che gli attaccanti hanno usato un solo account Office 365, che è poi la stessa piattaforma che prendono di mira nei loro attacchi: solo questo account risulta collegato a più di 150 attacchi. Come a ribadire l'estremo ritardo con cui le aziende stanno reagendo ad una tipologia di attacco dove il bersaglio è un essere umano: non c'è antivirus che tenga, contro le truffe BEC l'unica soluzione è la formazione del personale.