Blog di Spaceship

Che cos'è il business email compromise (BEC)?

Aggiornato il
6 min di lettura

Ogni anno, i criminali riescono a sottrarre miliardi. Non entrando con la forza in eleganti gallerie d'arte o caveau di banche, ma inviando l'email giusta alla persona giusta al momento giusto. Ecco come ci riescono.

In questo articolo scoprirai:

  • Che cos'è davvero il business email compromise

  • Come vengono eseguiti questi attacchi, passo dopo passo

  • I tipi più comuni di attacchi BEC

  • Un esempio reale di un attacco da 37 milioni di dollari

  • Come proteggere la tua azienda prima che diventi un bersaglio

Che cos'è il business email compromise nella cybersecurity?

Il business email compromise è un attacco informatico in cui i criminali impersonano qualcuno di cui ti fidi per indurti a inviare denaro o consegnare dati sensibili. Ciò che lo rende pericoloso è la pazienza e la pianificazione. Gli aggressori passano settimane a imparare come comunica un'azienda, chi detiene l'autorità e quando colpire. Quando l'email arriva, sembra una normale email da parte di qualcuno che conosci.

Come funziona un attacco di business email compromise?

Esiste un copione collaudato per questi attacchi e i truffatori lo seguono ogni volta.

Fase 1 – Trovare il bersaglio

L'intero scopo di un attacco di business email compromise è essere convincente. Fortunatamente per gli aggressori, Internet è una miniera d'oro di informazioni sui potenziali bersagli. Una rapida occhiata al tuo profilo social può rivelare il tuo lavoro, gli amici più stretti e perfino il tuo tono di voce. Metti insieme tutto questo con comunicati stampa sulle future mosse della tua azienda e biografie dai siti web aziendali, e il tutto inizia a sembrare credibile.

Gli aggressori possono raccogliere tutte queste informazioni e, in pochi secondi, creare un'email che sembra e suona autentica.

Fase 2 – Entrare nella casella di posta

Per far sembrare reale il contenuto dell'email, gli aggressori devono racchiuderlo in un pacchetto credibile e ben confezionato. Se l'indirizzo email non sembra provenire da una fonte affidabile, l'intera truffa fallirà.

Gli aggressori potrebbero falsificare il dominio registrando un nome come acme-corp.com invece di acmecorp.com. Oppure, se sono abbastanza abili, violare la vera casella di posta, rendendo quasi impossibile distinguerla da un messaggio autentico.

Dopotutto, se sembra un'anatra e starnazza come un'anatra, la maggior parte delle persone penserà che sia un'anatra.

Fase 3 – Costruire fiducia

In questi attacchi, la pazienza è fondamentale. Gli aggressori possono nascondersi in una casella di posta compromessa per settimane, leggendo i thread email e imparando gli stili di comunicazione. Quando l'email arriva finalmente, si integra con quelle precedenti, rispecchiando il tono e il flusso della conversazione.

Fase 4 – Fare la richiesta

Una volta che gli aggressori ti conoscono a fondo — il tuo tono di voce, i nomi e i ruoli dei tuoi colleghi e ciò che sta accadendo nella tua azienda — e sono riusciti a insinuarsi nella tua email, la richiesta viene inviata.

Di solito si tratta di qualcosa che non può essere facilmente annullato. Potrebbe comportare l'invio di denaro a un conto bancario o la condivisione di informazioni private. La chiave è che deve essere irreversibile. 

Quando il bersaglio si rende conto che qualcosa non va, l'aggressore ha bisogno che il danno sia già stato fatto. Se è particolarmente furtivo, potrebbe persino inviarla durante un periodo festivo, quando tutti sono meno vigili e le probabilità di successo sono maggiori.

Fase 5 – Sparire senza lasciare traccia

Dopo l'invio dei fondi, questi vengono spostati rapidamente attraverso una serie di conti intermediari. Di solito si trovano all'estero, rendendo il percorso del denaro molto difficile da seguire anche per le forze dell'ordine.

Esempio di business email compromise

Il business email compromise è il boss finale degli attacchi digitali. Di solito coinvolge grandi aziende e somme di denaro da capogiro. 

Nel 2019, uno dei principali fornitori di Toyota ha perso decine di milioni in un unico trasferimento. L'aggressore è entrato nel sistema email di Toyota Boshoku. Ha letto i messaggi e imparato come comunicava l'azienda. Quando nella conversazione è emerso un grosso trasferimento di denaro, ha chiesto a qualcuno in azienda con l'autorità di spostare fondi di aggiornare i dettagli del conto bancario per il trasferimento. Sembrava legittimo, e il denaro è stato inviato.

Proprio così, 37 milioni di dollari, spariti.

Tipi di attacchi di business email compromise

Non tutti gli esempi di business email compromise sono uguali. Naturalmente, l'obiettivo è sempre indurre le persone a consegnare quanto più denaro possibile, ma l'approccio può essere molto diverso.

Frode del CEO (impersonificazione di dirigenti)

Questa è la forma più riconosciuta di BEC. Un aggressore impersona un dirigente senior, di solito un CEO o un CFO, e fa pressione su qualcuno del reparto finanziario affinché sposti denaro. Funziona per via della dinamica di potere. Quando il capo vuole qualcosa, la maggior parte delle persone non si ferma a chiedere perché. Se poi questo si combina con una storia di fondo credibile, basta per spingere qualcuno ad agire senza pensarci due volte.

Compromissione dell'email del fornitore

Gli aggressori prendono di mira relazioni esterne all'azienda invece di fingere di essere qualcuno all'interno. Colpiscono fornitori e venditori fidati, inserendosi nelle conversazioni email esistenti e sostituendo i veri dettagli di pagamento con i propri. Dal punto di vista della vittima, sembra un normale aggiornamento della fattura da parte di un fornitore con cui collabora da anni.

Acquisizione dell'account

Questa è la variante più pericolosa perché non comporta alcuna falsificazione. L'aggressore sta usando l'account reale. L'email proviene da un indirizzo reale e usa il tono giusto. Il messaggio sembra completamente normale, perché tecnicamente lo è.

Deviazione del libro paga

Questo non prende di mira il denaro dell'azienda. Prende invece di mira i dipendenti. Gli aggressori si spacciano per le risorse umane o per un dipendente e richiedono un aggiornamento del libro paga, reindirizzando silenziosamente uno stipendio verso un conto che controllano. 

La vittima non lo scopre fino al giorno di paga e, poiché gli importi sono più piccoli e la richiesta sembra normale, raramente scatta un allarme antifrode. È una versione più lenta del BEC, ma colpisci abbastanza dipendenti e il totale cresce rapidamente.

BEC vs Phishing – Qual è la differenza?

Le email di phishing esistono da molto tempo, e la maggior parte delle persone sa come si presentano. Sono quelle che ti dicono che hai vinto un premio o che un principe nigeriano ha bisogno del tuo aiuto. Vengono inviate in massa e si basano sul puro volume per cogliere qualcuno di sorpresa.

Se il phishing è una rete, il BEC è un cecchino. Gli aggressori passano settimane a fare ricerche su un'azienda, a volte su una persona specifica. Quando l'email arriva, sembra un messaggio di un martedì mattina da parte di qualcuno che conosci.

Il phishing di solito punta alle tue credenziali di accesso, ma il BEC salta completamente quel passaggio e va dritto al denaro o ai dati.

Come individuare un attacco di business email compromise

Gli attacchi BEC sono progettati per sembrare normali. Ma se sai cosa cercare, i segnali ci sono.

  • La fretta— Un'email che ti spinge a spostare denaro rapidamente, senza lasciarti il tempo di fermarti e verificare.

  • Il cambiamento improvviso — Un fornitore o un collega ha improvvisamente aggiornato le proprie informazioni di pagamento dal nulla.

  • L'indirizzo quasi giusto — L'email del mittente differisce da quella reale per un solo carattere.

  • Il tono che non convince del tutto— Qualcosa sembra strano, troppo formale, troppo informale o insolitamente riservato.

  • La richiesta dal nulla — Ti viene chiesto di fare qualcosa che normalmente passerebbe attraverso un altro canale.

Come prevenire un attacco di business email compromise

Sapere come funzionano questi attacchi è metà della battaglia. L'altra metà consiste nell'assicurarsi che la tua azienda non sia un bersaglio facile.

Prendi il telefono

Se un'email ti chiede di trasferire denaro o aggiornare i dettagli di pagamento, non rispondere. Chiama direttamente la persona usando un numero che hai già, non quello presente nell'email. Ci vogliono trenta secondi ed è la singola cosa più efficace che puoi fare.

Attiva l'autenticazione a due fattori

Se un aggressore entra in possesso delle credenziali di accesso di qualcuno, la 2FA può bloccare la compromissione completa della casella di posta. Non fermerà tutto, ma rende la compromissione dell'account significativamente più difficile.

Insegna al tuo team a riconoscere ciò che è corretto

Una formazione regolare su cosa sia il BEC, come funzioni e quali siano i segnali d'allarme può trasformare i tuoi dipendenti in una linea di difesa.

Lascia che i tuoi strumenti facciano parte del lavoro pesante

I filtri antispam e gli strumenti di autenticazione del dominio come SPF, DKIM, and DMARC possono filtrare i tentativi di BEC prima che raggiungano il tuo team. Il rilevamento basato sull'AI va oltre. Impara qual è il normale comportamento email all'interno della tua organizzazione e segnala qualsiasi cosa sospetta.

Domande frequenti

Il business email compromise si verifica quando un criminale finge di essere qualcuno di cui ti fidi via email per indurti a inviare denaro o condividere informazioni sensibili. Gli aggressori inviano un'email convincente che rispecchia il tono delle email aziendali e proviene persino da un indirizzo email aziendale.

Sono collegati, ma non sono la stessa cosa. Il phishing getta una rete ampia, inviando email generiche a quante più persone possibile. Gli attacchi BEC sono mirati. Gli aggressori studiano un'azienda specifica, una persona specifica e un momento specifico. Il risultato è molto più convincente e molto più costoso.

La maggior parte delle truffe di business email compromise inizia con la ricerca. Gli aggressori studiano la struttura e la comunicazione di un'azienda. Una volta che sanno abbastanza, falsificano un indirizzo email affidabile oppure ne compromettono uno reale.

Frode del CEO. Un aggressore impersona un dirigente senior e fa pressione su qualcuno del reparto finanziario affinché trasferisca denaro rapidamente. Funziona perché la maggior parte delle persone non mette in discussione una richiesta urgente del capo.

Sì. La protezione dal business email compromise inizia dalle persone. Forma il tuo team a riconoscere i segnali d'allarme, verificare telefonicamente le richieste di pagamento e usare strumenti come 2FA e DMARC per rendere la tua email più difficile da compromettere. Nessuna singola misura è infallibile, ma la giusta combinazione ti rende un bersaglio molto più difficile.

Immagine del profilo di Josh Horritt
Scritto da

Josh Horritt

Josh è un copywriter e UX writer di Manchester, Regno Unito. Ha iniziato la sua carriera come giornalista alla BBC e ora lavora ai prodotti email di Spaceship, scrivendo blog e testi orientati agli utenti. Fuori dal lavoro, di solito è in montagna o fa musica con gli amici.
Altri articoli di Josh Horritt

Valuta questo articolo

5/52 Recensioni
Condividi questo articolo

Articoli suggeriti

Come Spacemail ti protegge dal tracciamento
La tua attività email probabilmente viene tracciata senza che tu lo sappia. Scopri come rimuovere i link di tracciamento senza alcuna perdita di funzionalità.
Jamie L.
4 min di lettura
I diversi volti delle minacce email
Familiarizza con le truffe email più comuni così da poterti proteggere da esse.
Jamie L.
15 min di lettura
Restare al sicuro con l'email nell'era digitale
Una parte considerevole dei crimini su Internet avviene tramite email. Scopri i modi più semplici per implementare la sicurezza email nella tua azienda con questi consigli per la sicurezza delle email.
Jamie L.
8 min di lettura
Come fermare lo spam via email: tattiche che funzionano
Sommerso dallo spam? Questa guida ti aiuta a riprendere il controllo della tua casella di posta e a proteggere la tua sicurezza online.
Stefania S.
5 min di lettura

Condividi i tuoi pensieri

Sono richiesti più di 10 caratteri.
La tua identità per la visualizzazione pubblica.
Fornire il tuo indirizzo email è facoltativo. Non sarà condiviso con terze parti.
Indice dei contenuti

Aiutaci a migliorare il nostro blog

Condividi i tuoi pensieri in un rapido sondaggio di due minuti.

È richiesto un indirizzo email valido