Email hackerata: cosa fare? (Email Account Compromise)

Probabilmente sei familiare con il termine Business Email Compromise (BEC), ma non con il termine EAC (Business Account Compromise), che possiamo considerare un cugino stretto del BEC. In effetti, BEC e EAC sono talmente intrecciati che dal 2017 l’FBI ha individuato queste truffe come un’unica tipologia di reato. Che cos’è esattamente l’EAC?

L’Email Account Compromise (EAC), conosciuto anche come casella email hackerata, è un attacco informatico altamente sofisticato in cui gli aggressori utilizzano varie tattiche, come: password spray, phishing, malware, per violare gli account email delle vittime, ottenendo l’accesso a caselle di posta legittime. L’EAC porta anche a frodi via email, in cui l’attaccante utilizza l’ingegneria sociale per ingannare o minacciare la vittima affinché effettui un pagamento finanziario.

Nel caso dell’EAC, le vittime sono quasi sempre due: la persona la cui casella email è stata hackerata e l’altra persona che cade nella richiesta fraudolenta proveniente dalla casella di posta elettronica violata.

Gli aggressori possono hackerare un’email in diversi modi. L’attacco a forza bruta è uno dei metodi più diffusi di cracking delle password, in cui gli aggressori utilizzano strumenti automatici per provare nomi utente e password più e più volte, finché non riescono a entrare. Altre tattiche di attacco comuni includono il phishing, in cui gli aggressori inviano un’email con un link a un sito web fittizio progettato per rubare le credenziali. In alcuni casi gli aggressori utilizzano malware, come keylogger o stealers, per penetrare nell’account dell’obiettivo. Indipendentemente dalla tattica, l’obiettivo dell’attaccante è ottenere e replicare la vostra identità.

I bersagli più comuni degli attacchi EAC sono i tuoi dipendenti, sia per la posta elettronica personale che per quella aziendale, i tuoi partner commerciali e i tuoi clienti. Una casella email hackerata è spesso caratterizzata dai seguenti elementi:

Dirottamento della catena di approvvigionamento

Scenario I: compromissione del reparto contabilità

L’aggressore riesce a hackerare la casella email di un dipendente del tuo reparto contabilità. Una volta entrato, l’aggressore crea una regola di inoltro all’interno della piattaforma di posta elettronica e inizia a raccogliere copie di tutti i messaggi. Quindi utilizza le conoscenze acquisite dall’account compromesso, come la cadenza di fatturazione e l’interazione con i clienti. In questo modo potrà creare fatture dall’aspetto identico, utilizzando una terminologia e dei loghi appropriati, per poi inviarle ai clienti. Quando il cliente paga la fattura, il denaro finisce direttamente sul conto bancario dei truffatori invece che su quello della tua azienda. Il cliente pensa di pagare la tua azienda, ma in realtà paga inconsapevolmente il truffatore. Di conseguenza, la tua azienda non solo perderà il denaro che le spetta, ma avrà anche un serio problema di tutela e soddisfazione del cliente.

Scenario II: il reparto amministrativo del tuo fornitore è stato compromesso

In questo caso è la casella email del tuo fornitore a essere violata dall’aggressore. Proprio come nell’esempio precedente, il threat actor viene a conoscenza di tutti i dettagli e delle interazioni tra te ed il tuo fornitore. In seguito crea fatture apparentemente identiche, ma con le coordinate bancarie del proprio conto, e le invia alla tua azienda. Di conseguenza, il tuo fornitore non riceverà mai il pagamento dalla tua azienda e la tua azienda subirà una perdita finanziaria a causa del pagamento al truffatore. Questa dinamica rischia di danneggiare anche i rapporti commerciali con il fornitore.

Reindirizzamento delle buste paga

In questo caso l’aggressore riesce a hackerare l’account di posta elettronica di un dipendente e invia un’email alle risorse umane chiedendo di aggiornare le coordinate del bonifico diretto del dipendente vittima con il conto bancario dell’aggressore. In alcuni casi, l’aggressore compromette l’account email di un dirigente e studia l’attività della vittima, ad esempio le attività di fusione e acquisizione (M&A). L’aggressore invia quindi un’email all’ufficio contabilità utilizzando l’account compromesso del dirigente, chiedendo di eseguire una transazione di denaro per completare un’acquisizione, con la differenza che il conto bancario sarà stato sostituito dall’aggressore.

Ciò che BEC e EAC hanno in comune è che prendono di mira gli individui, si basano sull’ingegneria sociale e sono progettati per sollecitare bonifici o pagamenti fraudolenti o per rubare informazioni. La differenza principale tra Business Email Compromise (BEC) e Email Account Compromise (EAC) è che nel caso di BEC, l’aggressore finge di essere la vittima, mentre nel caso di EAC, l’aggressore assume il controllo dell’email della vittima. Nel caso della BEC, gli aggressori utilizzano spesso tattiche di inganno dell’identità, come lo spoofing del dominio, lo spoofing del nome visualizzato e i domini sosia, per indurre le persone a effettuare pagamenti su conti fraudolenti. Per quanto riguarda l’EAC, gli aggressori trovano diversi modi per compromettere il tuo account email in modo da poter “essere te”. Quando utilizzano la tua email legittima per condurre frodi interne o con i tuoi partner commerciali o clienti, aggirano i controlli di autenticazione delle email come SPF, DKIM e DMARC.

Poiché EAC e BEC sono collegati, è fondamentale adottare un approccio olistico per proteggere la tua azienda. In altre parole, se si risolve solo l’EAC, si affronta solo una parte del problema. Per una protezione più efficace, è necessario prendere provvedimenti sia per il BEC che per l’EAC.

Data la complessità delle tattiche e dei canali di questi attacchi, è necessaria una soluzione completa che risponda a tutte le tecniche degli aggressori. Affidarsi a un solo controllo tecnico o a una sola formazione di sensibilizzazione alla sicurezza lascia la tua organizzazione esposta. Per saperne di più su come proteggere la propria azienda dagli attacchi BEC e EAC, fai clic qui.