Bec, cioè Business Email Compromise. È un tipo di attacco informatico sofisticato che prende di mira sia le imprese che i privati, con l’obiettivo di trasferire denaro dai conti correnti delle vittime verso quelli dei criminali. Un attacco che, secondo l’Internet Crime Report dell’Fbi avrebbe portato nei soli Stati Uniti a perdite per 1,7 miliardi di dollari.
La truffa via email è la prima minaccia informatica in termini di danni economici secondo l’analisi effettuata dall’Fbi, perché rappresenta circa la metà di tutte le perdite derivanti dalle attività della criminalità informatica negli Usa per il 2019. I dati sono stati anche confermati dalla società di assicurazioni Aig, secondo la quale la principale ragione alla base delle richieste di risarcimento assicurativo per crimini informatici nel 2018 è stata questa, seguita da ransomware e violazione dei dati aziendali o personali.
Check Point ha scritto un report per analizzare quale tipo di strategie vengono utilizzate da questa truffa informatica. Secondo la società, è terminata l’epoca in cui venivano utilizzate tecniche di hacking o di spoofing degli indirizzi email degli amministratori delegati o dei responsabili delle finanze delle aziende per chiedere trasferimenti di fondi su conti correnti controllati da criminali. Nel tempo gli attacchi sono infatti diventati sempre più sofisticati, soprattutto dal punto di vista del lavoro di ingegneria sociale, cioè lo studio dei comportamenti e della storia delle persone che verranno truffate per cercare di ingannarle in maniera più completa.
Gli attacchi oggi, secondo Check Point, anziché prendere di mira le grandi aziende colpiscono più spesso i singoli clienti, gli uffici risorse umane, i fornitori, i commercialisti e gli studi legali. Addirittura le autorità fiscali. Oltre a cercare di farsi accreditare direttamente dei soldi su conti controllati dai truffatori, inoltre, le Bec vengono utilizzate anche per acquistare in modo fraudolenti gift card, deviare le dichiarazioni dei redditi e addirittura per trasferire attrezzature dal valore di milioni di dollari in contesti sotto il controllo dei criminali informatici.
In questa fase l’argomento più gettonato delle truffe basate sulla Bec è il coronavirus. I criminali sfruttano l’interesse generato dalla pandemia per fare più truffe possibili. Il lockdown planetario e l’avvio di pratiche di smart-working indiscriminate e spesso senza aver prima messo in sicurezza connessioni e strumenti informatici sta infatti portando a una diffusione di attacchi che hanno maggiori probabilità di cogliere alla sprovvista le vittime. secondo Check Point Research gli attacchi informatici legati al coronavirus nelle prime due settimane di maggio sono aumentati del 30% e la maggior parte sono avvenuti via email. In media, ci sono stati 192mila attacchi alla settimana. Inoltre sia agenzie governative che servizi sanitari hanno trasferito fondi a intermediari disonesti per cercare di acquistare attrezzature medicali, scoprendo che le attrezzature non esistevano e i soldi erano irrecuperabili.
Le truffe Bec secondo Check Point colpiscono anche i settori immobiliare, quello dell’arte, della pubblica amministrazione, degli enti locali, persino l’esercito. Negli Usa la Difesa ha inviato apparecchiature dal valore di 10 milioni di dollari a un acquirente che ha usato un falso indirizzo di posta per cercare di truffare i militari (l’uomo è stato successivamente scoperto e arrestato).
Spesso però dietro a queste truffe c’è la criminalità organizzata, che è in grado di orchestrare le operazioni complesse di apertura di conti correnti sicuri e riciclare i soldi o i beni in mercati clandestini e che spesso fa ricorso a “muli”, cioè utenti anonimi che accettano di farsi spedire e rivendere dei beni a proprio nome in cambio di un consistente vantaggio economico.
Secondo Check Point la ricetta per proteggere l’azienda dalle Bec si basa su alcune operazioni semplici: monitoraggio del traffico email con provider conosciuti, protezione dei dispositivi e della loro navigazione, autenticazione a due fattori per verificare le informazioni, corsi di formazione per i dipendenti, policy in base alle quali non fornire mai credenziali di accesso via email, monitoraggio continuo dei conti bancari aziendali, aggiornamento costante dei software e sistemi, utilizzando anche una soluzione di sicurezza avanzata per la protezione da Bec e phishing via email.
