Spesso sentiamo parlare di BEC, acronimo che significa “Business Email Compromise”, ovvero la compromissione dell’e-mail aziendale, una minaccia che tutti noi ci troviamo ad affrontare ogni giorno nella nostra casella postale. Ma di fatto, di cosa stiamo parlando? Come evitare di cadere nelle trappole costruite ad arte dai cyber criminali?
BEC: analisi della tecnica
L’acronimo indica una metodica nel mondo del cybercrime, spesso utilizzata da attori malevoli verso aziende di qualsiasi dimensione, finalizzata in primis ad estorcere denaro, ma anche per ottenere informazioni sensibili o dati dell’azienda target.
La tecnica in oggetto non prende di mira principalmente le infrastrutture informatiche aziendali, come avviene invece per i casi di ransomware, ma si concentra su quelli che sono gli ambienti di collaboration e produttività maggiormente utilizzati su scala globale.
Degli esempi sono Microsoft 365 oppure Google Workspace, nonché naturalmente quelli che sono i servizi aziendali on-premise di gestione della posta elettronica, come, per esempio, il diffusissimo Microsoft Exchange.
Anatomia dell’attacco
In prima battuta, gli attaccanti devono ottenere un accesso di un utente. Qui possiamo fare una distinzione, esistono attacchi mirati e casuali. Negli attacchi mirati l’attaccante prende di mira una specifica azienda e uno specifico utente, come per esempio un CEO o un CFO.
Quindi tenterà di ottenere le credenziali dell’utente, eseguendo attività di Social Engineering e raccogliendo quante più informazioni possibile, per poi tentare di violare l’account eseguendo brute-force o semplicemente tentando di ottenere le credenziali con messaggi di spam contenenti link malevoli al fine di spronare la vittima a inserire le credenziali.
Negli attacchi casuali, l’attaccante ottiene l’accesso senza un interesse mirato, magari acquistando le credenziali nel deep/dark web, in canali Telegram o black market in genere, oppure ottenendo credenziali per mezzo di malware di tipo Infostealer, il cui scopo è proprio quello di raccogliere credenziali e cookies dagli endpoint che infetta.
Accesso consentito: e ora?
Una volta avuto l’accesso, il threat actor studia la corrispondenza, studia le conversazioni, cerca di immedesimarsi nel contesto dell’azienda colpita e una volta raccolte sufficienti informazioni si inserisce nel mezzo di una conversazione, inviando mail provenienti di fatto da un utente lecito per tentare di estorcere denaro a fornitori/clienti esterni.
Spesso queste mail sono scritte molto bene, difficile capire che si tratta di una truffa; e molto spesso accade che dall’altra parte vengono pagate somme di denaro a fronte di fatture “false”, su conti correnti esteri non appartenenti al legittimo creditore.
Gli attaccanti ovviamente tentano di nascondere la loro attività illecita all’interno dei sistemi violati, talvolta ricorrono all’utilizzo delle regole sulle cassette postali, al fine di spostare messaggi o interi thread contenenti parole specifiche nell’oggetto o provenienti da mittenti specifici in cartelle della cassetta postale, molto spesso viene usata la cartella dei Feed RSS poiché viene quasi sempre ignorata dalla maggior parte degli utenti.
Obiettivo #2: Persistenza
Un’altra attività che spesso viene svolta dagli attaccanti è quella di creare persistenza negli ambienti violati, in modo tale che se vengono isolati qualora l’azienda si accorgesse della compromissione, si garantirebbero comunque un accesso secondario, proprio come avviene nei casi degli attacchi ransomware.
Tipicamente le persistenze consistono nella creazione di ulteriori utenti, qualora l’accesso primario violato sia un utente con privilegi amministrativi, oppure l’inserimento di altri fattori di autenticazione come la creazione ti token per applicazioni esterne con durata longeva.
Questi attacchi possono anche non avere come scopo primario l’estorsione di denaro, bensì potrebbero avere come fine l’ottenimento di dati sensibili o l’esfiltrazione di dati aziendali (si pensi a quante aziende detengono i propri dati in sistemi cloud come SharePoint, OneDrive o Google Drive, o semplicemente avere a disposizione un tenant aziendale per poter fare da “rilancio” per distribuire messaggi di spam e sfruttare quindi la reputazione dei domini verificati per bypassare i controlli dei sistemi antispam dei destinatari.
BEC: come difendersi
Per difendersi, è basilare mettere in atto alcune misure di sicurezza, come:
- Disporre di sistemi di monitoraggio e risposta attivi H24 in grado di bloccare sul nascere qualsiasi minaccia rilevando in real-time qualsiasi accesso anomalo, brute force, attacchi spray o accessi da paesi esteri
- Introdurre l’autenticazione a più fattori sulle utenze che accedono ai servizi, soprattutto sugli utenti con privilegi amministrativi
- Eseguire formazione periodica rivolta al personale aziendale, concentrandosi su quelli che sono i vettori d’attacco maggiormente utilizzati, sulle minacce e sulle tecniche utilizzate dagli attaccanti
- Dotarsi di sistemi avanzati antispam, al fine di individuare eventuali link malevoli o messaggi non leciti
- Regolamentare l’accesso condizionale, ossia definire delle regole tali per cui, prima che un utente possa accedere alle risorse, devono essere soddisfatti alcuni requisiti minimi, come l’utilizzo di un device verificato o la provenienza di un indirizzo IP riconosciuto
- Raccogliere e storicizzare gli audit log dei sistemi in cloud, utili per individuare segni di compromissioni o per ricostruire eventualmente la kill chain dell’attacco.
Le compromissioni di tipo BEC oggi sono molto diffuse e rappresentano una minaccia significativa per tutte le aziende, dato anche il minor effort necessario per l’esecuzione rispetto ad attacchi più complessi e articolati, nonché la semplicità con cui spesso e volentieri le vittime cadono in queste truffe.
Analisi di Alessandro Lomi – Incident Response Specialist, CYBEROO
