Business Email Compromise (BEC): Cos’è e come proteggersi dalle truffe via email

Nel panorama delle minacce informatiche, il Business Email Compromise (BEC) si distingue per la sua sofisticatezza e pericolosità. Questa tipologia di truffa sfrutta la fiducia e l’apparente legittimità delle comunicazioni email per indurre le aziende a effettuare trasferimenti di denaro o divulgare informazioni sensibili. Comprendere il funzionamento del BEC è fondamentale per adottare misure efficaci di prevenzione e protezione.​

1. Compromissione dell’account email o phishing: Il truffatore inizia violando l’account email di un dirigente aziendale o di un fornitore fidato. Questo può avvenire tramite hacking diretto o attraverso tecniche di phishing, dove la vittima è indotta a fornire le proprie credenziali di accesso. Ad esempio, email ingannevoli possono contenere link a siti falsi che imitano quelli legittimi, inducendo l’utente a inserire le proprie credenziali.
2. Monitoraggio delle comunicazioni aziendali: Una volta ottenuto l’accesso, l’attaccante osserva le comunicazioni interne per comprendere le dinamiche aziendali, i processi di pagamento e le relazioni tra dipendenti e partner. Questa fase permette al truffatore di pianificare l’attacco in modo credibile e mirato.
3. Invio di email fraudolente: Utilizzando l’account compromesso o creando indirizzi email simili a quelli legittimi, il truffatore invia richieste di pagamento o modifica delle coordinate bancarie. Spesso, queste email sono caratterizzate da un tono urgente e confidenziale, spingendo il destinatario ad agire rapidamente senza le dovute verifiche.
4. Esecuzione del pagamento fraudolento: Il dipendente, convinto della legittimità della richiesta, effettua il trasferimento di fondi verso il conto controllato dal truffatore. Una volta completata la transazione, recuperare i fondi diventa estremamente difficile.
5. Rilevamento Ritardato: Spesso, la truffa viene scoperta solo dopo giorni o settimane, quando ormai il denaro è irrecuperabile. Questo ritardo nel rilevamento amplifica le perdite finanziarie e i danni reputazionali per l’azienda.

• CEO fraud: Il truffatore si spaccia per il CEO o un alto dirigente, inviando email ai dipendenti con richieste urgenti di trasferimento fondi.​
• Invoice fraud: L’attaccante impersona un fornitore, inviando fatture false con coordinate bancarie modificate per dirottare i pagamenti.​IBM – United States
• Attorney impersonation: Il truffatore si presenta come un legale dell’azienda, richiedendo trasferimenti di denaro per questioni legali urgenti.​
• Account compromise: Dopo aver compromesso l’account email di un dipendente, l’attaccante invia richieste di pagamento ai clienti dell’azienda, facendo sembrare legittime le transazioni fraudolente.​

1. Implementare l’autenticazione a più fattori (MFA): L’adozione di sistemi di autenticazione a due o più fattori aggiunge un livello di sicurezza, rendendo più difficile per i truffatori accedere agli account email aziendali.
2. Verifica delle richieste di pagamento: Qualsiasi richiesta di modifica delle coordinate bancarie o di trasferimenti urgenti dovrebbe essere verificata tramite un secondo canale di comunicazione, come una telefonata diretta al richiedente utilizzando numeri di telefono già noti e verificati.
3. Formazione e sensibilizzazione dei dipendenti: Organizzare sessioni formative periodiche per educare i dipendenti sui rischi del BEC e sulle tecniche di phishing, incoraggiando una cultura della sicurezza e della vigilanza.
4. Monitoraggio delle transazioni finanziarie: Implementare controlli interni rigorosi per monitorare e autorizzare i trasferimenti di fondi, soprattutto quelli di importo elevato, coinvolgendo più livelli di approvazione.
5. Aggiornamento e manutenzione dei sistemi di sicurezza: Assicurarsi che tutti i sistemi informatici siano aggiornati con le ultime patch di sicurezza e utilizzare soluzioni avanzate di protezione contro malware e phishing.

La Business Email Compromise rappresenta una minaccia significativa per le aziende di tutte le dimensioni. Adottare misure preventive e promuovere una cultura aziendale attenta alla sicurezza informatica sono passi fondamentali per proteggersi da queste sofisticate truffe.

L’articolo è di carattere divulgativo aggiornato alla data di pubblicazione. Per conoscere l’offerta della Banca consulta l’area Prodotti.

“Messaggio pubblicitario con finalità promozionale. Per le condizioni contrattuali si rinvia ai fogli informativi e/o alla documentazione contrattuale disponibili sul sito www.bancobpm.it e presso le filiali della Banca. Per l’emissione della carta di debito e della carta di credito la Banca si riserva la valutazione dei requisiti necessari alla concessione e dei massimali di spesa da assegnare alla stessa.”