Tutte le aziende si affidano in una certa misura alla posta elettronica. Gli attacchi via e-mail contro le aziende sono quindi un potente strumento per i criminali informatici. Sono anche difficili da proteggere perché richiedono solo una persona in un'azienda per interagire con loro e innamorarsi di loro.
Le e-mail di phishing sono le più ovvie. Durante un attacco di phishing, a un dipendente viene chiesto di fare clic su un collegamento e la sua password viene rubata quando lo fa. Ma le aziende devono anche cercare attacchi più sofisticati.
Vendor Email Compromise (VEC) è un nuovo attacco basato sulla compromissione della posta elettronica aziendale. Allora cos'è e come funziona?
Che cos'è il compromesso e-mail aziendale?
Compromesso e-mail aziendale Gli attacchi (BEC) in genere comportano la rappresentazione di dipendenti di alto livello. L'attaccante prima impara abbastanza su un'azienda per sapere chi lavora lì. Questo non è difficile da fare perché le aziende spesso condividono molte di queste informazioni online.
L'attaccante crea un indirizzo e-mail che include il nome del CEO e contatta un dipendente che impersona quella persona. Al dipendente verrà quindi chiesto di effettuare un bonifico bancario urgente. L'e-mail includerà sia un motivo plausibile per farlo sia un senso di urgenza.
L'attacco si basa sul fatto che i dipendenti spesso effettuano il trasferimento per paura di essere licenziati o di subire comunque ripercussioni.
Che cos'è il compromesso e-mail del fornitore?
Gli attacchi VEC sono un tipo di attacco BEC. A differenza degli attacchi BEC tradizionali, prendono di mira specificamente i fornitori. I fornitori in genere lavorano con un gran numero di aziende diverse. L'idea è che se un aggressore può impersonare con successo un fornitore, può quindi rubare a tutte quelle aziende.
Gli attacchi VEC richiedono più lavoro e richiedono più tempo per essere implementati. Ma a seconda delle dimensioni del venditore, i profitti possono anche essere significativamente più elevati.
Mentre un dipendente potrebbe chiedersi perché il suo capo improvvisamente vuole che facciano un grosso bonifico bancario, spesso è perfettamente normale che un venditore faccia questa richiesta sotto forma di fattura. Un attacco VEC spesso prende di mira anche più aziende, mentre un attacco BEC prende di mira solo una.
Come funziona VEC?
Esistono molte varianti della compromissione dell'e-mail del fornitore e la quantità di sforzo applicata dipende dalle dimensioni del fornitore e dal potenziale guadagno. La maggior parte degli attacchi VEC, tuttavia, include le fasi seguenti.
Phishing contro il venditore
Un attacco VEC riuscito inizia tentando di accedere agli account di posta elettronica associati a un fornitore. Ciò si ottiene in genere inviando e-mail di phishing ai dipendenti dell'azienda. Se un dipendente consente il furto delle proprie credenziali, l'attaccante può quindi accedere al proprio account e iniziare l'attacco.
Imparare a conoscere il venditore
Una volta rubate le credenziali, l'attaccante può accedere all'e-mail del dipendente e ottenere informazioni sull'azienda e sui suoi clienti. L'attaccante deve capire con quale frequenza vengono inviate le fatture, che aspetto hanno e a chi vengono inviate.
Durante questa fase, l'attaccante di solito inoltra tutte le email dall'account legittimo al proprio. Ciò consente loro di tenere traccia dell'attività senza continuare ad accedere all'account. Ciò è necessario perché l'acquisizione delle informazioni necessarie per commettere l'attacco richiede spesso molte settimane e possono rimanere nascoste.
Dopo aver raccolto informazioni sufficienti sul fornitore, l'autore dell'attacco può tentare di impersonarlo. L'attaccante può utilizzare l'indirizzo e-mail del fornitore a cui ha già accesso. Oppure possono creare un nuovo indirizzo e-mail simile a quello del fornitore.
Quindi contatteranno i clienti e richiederanno che vengano effettuati bonifici bancari di grandi dimensioni. A questo punto, il truffatore capisce sia come appaiono le email legittime sia che tipo di richieste di trasferimento hanno senso. Ciò consente loro di creare e-mail altamente realistiche.
Molte aziende pagheranno la fattura automaticamente senza richiedere la verifica.
Cosa succede se sei una vittima di VEC?
La compromissione dell'e-mail del fornitore interessa due parti, vale a dire l'azienda e i suoi clienti.
Sebbene il venditore possa subire danni alla propria reputazione, non perde denaro direttamente a favore degli aggressori. Le informazioni vengono rubate dai loro account di posta elettronica, ma queste informazioni vengono utilizzate per rubare denaro ad altre persone.
Le principali vittime di questo attacco sono i clienti. L'importo che perdono dipende da quanto solitamente pagano al venditore e se l'attaccante è in grado di convincerli a inviare più di tale importo. Poiché gli aggressori sono anonimi, di solito è impossibile recuperare il pagamento.
Come proteggersi dalla VEC
Sia i fornitori che i loro clienti possono proteggersi dagli attacchi VEC aumentando la formazione dei dipendenti e modificando le modalità di accesso alle e-mail.
Formare i dipendenti per identificare le email fraudolente
Questo tipo di attacco diventa significativamente più difficile se i dipendenti che lavorano sia per il fornitore che per i loro clienti vengono addestrati a rilevare e-mail fraudolente. Tutti i dipendenti dovrebbero comprendere la minaccia poste dal phishing.
Qualsiasi e-mail che includa una fattura dovrebbe anche essere sottoposta a un ulteriore controllo prima che venga effettuato qualsiasi pagamento. Le e-mail inviate ai clienti del fornitore sono spesso realistiche e inviate alla solita ora. Ma possono ancora essere rilevati perché l'indirizzo e-mail non corrisponde o il pagamento viene richiesto su un conto bancario diverso.
Implementare l'autenticazione a due fattori
Autenticazione a due fattori (2FA) può proteggere dal phishing. Una volta aggiunto a un account, impedisce a chiunque di accedere a meno che non abbia accesso al dispositivo 2FA.
Ciò impedisce il verificarsi di attacchi VEC perché anche se un dipendente fornisce all'attaccante la propria password, l'attaccante non sarà in grado di utilizzarla.
Il compromesso con l'e-mail del venditore è una minaccia importante da comprendere
La compromissione della posta elettronica del fornitore è un nuovo tipo di compromissione della posta elettronica aziendale di cui tutti i fornitori e i loro clienti dovrebbero essere a conoscenza. È particolarmente problematico per le aziende che spesso pagano ingenti somme di denaro ai propri fornitori, ma anche i fornitori stessi dovrebbero essere consapevoli del potenziale danno alla loro reputazione.
Come la maggior parte degli attacchi basati su e-mail, VEC fa affidamento sul fatto che i dipendenti aziendali non sappiano come identificare le e-mail fraudolente. Può quindi essere prevenuto con una maggiore formazione. Semplice ma efficace.