giovedì 12 settembre 2019

La truffa via email fa una vittima di eccellenza: rubati 37 milioni di dollari alla Toyota


Il 6 Settembre sul sito ufficiale della Toyota è comparsa una nota, questa, molto vaga ma che fa intendere a grandi linee la questione: a causa di una truffa portata avanti attraverso un account email aziendale compromesso, la Toyota ha subito il furto di 4 miliardi di Yen (circa 37 milioni di dollari). 

La nota non chiarisce molto a livello tecnico, ma si può intendere che siamo in presenza di una classica truffa con la quale sono bersagliate aziende in tutto il mondo (in questo caso una filiale europea dellla Toyota): parliamo della BEC, Business Email Compromise. Alcuni ricercatori di sicurezza hanno messo in relazione l'attacco informatico subito da Toyota lo scorso Marzo, col quale gli attaccanti avevano messo le mani su molti dati aziendali e su quelli di oltre 3 milioni di clienti. 

Dal caso eclatante alla realtà di tutti i giorni
Approfittiamo di questo evento particolarmente eclatante, per tratteggiare quelle che sono le caratteristiche fondamentali di questo tipo di truffa la quale, è bene ribadirlo, non colpisce solo aziende enormi e multinazionali, ma che anzi è spesso usata contro aziende medio - piccole (sicuramente meno avvezze ad affrontare tali rischi informatici).

Che le email siano vettori di svariate tipologie di truffe e infezioni malware non è una novità, anzi: gli attacchi di phishing sono all'ordine del giorno, ma le email sono anche ottimo strumento di diffusione di malware e worm di vario genere. Basta infatti un allegato o un link compromesso e un testo (prodotto secondo i criteri dell'ingegneria sociale) capace di attirare l'attenzione della vittima per convincerla ad aprire l'allegato dannoso / cliccare sul collegamento compromesso.

Da questo punto di vista i dati non mentono: il report di FireEye relativo al 2019 conferma che il phishing è ormai una delle tecniche preferite dei cyber attaccanti, sopratutto quando prendono di mira servizi popolarissimi come quelli di Microsoft, OndeDrive, Apple, PayPal, Amazon ecc... e che gli attacchi via email continuano ad aumentare costantemente di numero (e di efficacia, ahinoi). 

Il report di FireEye pone tra i trend principali degli attacchi via email, l'attacco BEC e qui torniamo al nostro caso in origine, quello che riguarda la Toyota. L'attacco BEC è mirato solo ed esclusivamente alle aziende e prevede l'uso di attacchi e tecniche mirate alla singola vittima, così che i cyber attaccanti possano impersonificare alti dirigenti aziendali per disporre con l'inganno trasferimenti di denaro direttamente nelle loro tasche. 

Facciamo un esempio
Esistono svariate tipologie di attacco BEC: ne esemplifichiamo uno per rendere chiaro lo schema truffaldino. 

Peter lavora per una multinazionale, in dettaglio  nel dipartimento finanze, il cui responsabile è il Sig. White. Un giorno Peter riceve una email urgente dal Sig.White, suo diretto superiore: nell'email, (apparentemente uguale nell'aspetto alle email aziendali ufficiali e contenente i dati reali del superiore), il Sig.White richiede i dettagli bancari dell'azienda per risolvere una questione della massima urgenza. Peter, ritenendo di intrattenere una corrispondenza email col proprio superiore, esegue la richiesta e comunica i dati richiesti. Il disastro è fatto: poco dopo una transazione di enorme valore viene eseguita dall'azienda. Non appena viene individuata tale transazione, l'azienda avvia una indagine per individuarne la responsabilità, così il Sig.White conferma di non aver mai inviato tale richiesta a Peter.  Peter scopre così di aver ceduto volontariamente i dati finanziari dell'azienda ad un cyber attacante che ha impersonificato i Sig.White.  

Forme meno diffuse di BEC si rivolgono all'ufficio paghe aziendale, per far modificare i dati bancari e personali di un dirigente così da trasferire la sua retribuzione su un altro conto. Oppure ancora una email apparentemente proveniente da un fornitore abituale, nella quale si comunica una variazione di IBAN, in realtà devia i pagamenti sul conto degli attaccanti. 

Perché le truffe BEC sono in crescita?
Nei fatti perchè per gli attaccanti presentano notevoli vantaggi:
  • non contengono malware, ma si basano solo su sofisticate tecniche di ingegneria sociale. Le soluzioni antivirus quindi non individuano come compromesse o pericolose le email BEC;
  • superano i filtri antispam, perchè i filtri antispam stessi non riescono a distinguerle da email legittime;
  • sono altamente personalizzate: pre condizione necessaria affinché una BEC possa funzionare è che gli attaccanti si documentino approfonditamente sulla vittima, così da perfezionare l'impersonificazione del dirigente aziendale. 

Cosa fare per individuare questo tipo di truffe?
Formare i dipendenti affinché siano a conoscenza dell'esistenza e delle caratteristiche base di questo tipo di truffa è fondamentale: presteranno maggiore attenzione all'aspetto dell'email e, qualora nutrano dubbi, effettueranno ulteriori verifiche, tra le quali, prima di tutto, una verifica diretta presso il dirigente aziendale. In caso di modifiche dell'IBAN di un fornitore, saranno spinti a effettuare una verifica telefonica, ad esempio, presso il fornitore stesso e così via.

Le truffe BEC non possono essere sconfitte da un software: in questo caso solo la consapevolezza dell'operatore e una buona dose di prudenza sono le uniche armi a disposizione delle aziende. 

Nessun commento:

Posta un commento