Business E-mail Compromise

Come difendersi dagli attacchi informatici di tipo “BEC”: una strategia multilivello

Il numero di account che hanno visto compromesse le proprie credenziali è significativamente aumentato nella prima metà del 2022. Quali sono, allora, le azioni che possono essere messe in campo a tutela degli utenti e delle aziende dalle minacce di tipo BEC (Business E-mail Compromise)?

Pubblicato il 27 Feb 2023

Beatrice Rubini

Personal Solutions & Cybersecurity – CRIF Executive Director

sicurezza informatica

Gli attacchi informatici di tipo BEC (Business E-mail Compromise) sono attacchi mirati che uniscono al phishing elementi di social engineering.

Gli attacchi di tipo BEC avvengono tramite e-mail “personalizzate” con un mittente aziendale conosciuto dalla vittima ed un messaggio plausibile, e quindi sono spesso difficili da individuare. Che ci sarebbe di strano, ad esempio, se il vostro capo vi chiedesse di fornirgli un’informazione particolare o di pagare una fattura, oppure se un collega dell’amministrazione vi chiedesse di approvare una spesa o un bonifico?

Deepfake nelle aziende: le minacce più comuni e come prevenirle

Attacchi BEC: una grave minaccia per l’economia globale

In questo tipo di attacchi, effettuati attraverso la posta elettronica, i criminali impersonano manager e dirigenti di alto livello, al fine di frodare finanziariamente un’azienda.

Secondo il report Security predictions for 2023 di Trend Micro, questo tipo di truffa continuerà a tormentare le imprese nel 2023, con un aumento previsto del 19,4%.

Anche se l’uso di software per la sicurezza della posta elettronica può mitigare il rischio di BEC ed ostacolarne in qualche misura la crescita, questo tipo di attacco continuerà a rappresentare una tecnica criminale assai redditizia: si stima che le perdite derivanti dagli attacchi BEC ammonteranno a circa 2,8 miliardi di dollari entro il 2027.

Questi attacchi possono essere finanziariamente devastanti per le aziende, tanto che in un recente avviso il Federal Bureau of Investigation (FBI) avverte che la BEC è una grave minaccia per l’economia globale.

I tentativi di BEC sono maturati al punto che si parla di “BEC-as-a-service”, una chiara indicazione del fatto che i criminali informatici stanno diventando abbastanza esperti di tecnologia da poter vendere i loro set di competenze. L’abbondanza e l’accessibilità delle informazioni online contribuisce inoltre in modo rilevante al fenomeno, agevolando gli aggressori nel perfezionare ulteriormente i loro schemi e a renderli ancora più mirati: la scarsa cura nell’impostare le proprie password può rendere facile il furto di credenziali, e una grande quantità di dati di accesso è venduta sul dark web.

Phishing e social engineering, ecco i rischi

Il termine phishing indica una tipologia di truffa online con cui i criminali cercano di convincere con l’inganno la vittima a fornire i suoi dati personali o a inviare denaro.

Questa definizione generica però non rende l’idea dell’enorme quantità di tecniche di attacco al momento esistenti, che possono utilizzare e-mail, SMS, chiamate, siti web e altri sistemi ancora.

Il Social Engineering è invece una tecnica di manipolazione che consiste nello sfruttare le emozioni della vittima per convincerla a rivelare delle informazioni, oppure per indurla a compiere un’azione.

Come conferma anche l’Osservatorio Cyber realizzato da CRIF, le attività degli hacker continuano con grande intensità. Il numero di account che hanno visto compromesse le proprie credenziali è significativamente aumentato nella prima metà del 2022, in combinazione con altri dati utilizzati da hacker e frodatori. In Italia il numero di alert relativi a dati rilevati sul dark web è aumentato del +44,1% rispetto al semestre precedente.

Come proteggere utenti e aziende da attacchi BEC

Come proteggere gli utenti e le aziende dagli attacchi Business E-mail Compromise?

Non c’è una singola soluzione che possa proteggere gli utenti e le organizzazioni dagli attacchi BEC, ma è necessario un approccio a più livelli per rimanere al sicuro.

L’implementazione di alcune best practice può aiutare a risolvere molte minacce e la formazione sulla consapevolezza della sicurezza può aiutare manager e dipendenti a valutare meglio i contenuti che ricevono via e-mail, SMS, ciò che visualizzano e cliccano sui social media, le modalità di accesso al web e così via.

Oltre a puntare sulla formazione interna, vediamo cos’altro si può fare per proteggersi:

Comprendere i rischi

La criminalità informatica è un settore che dispone di notevoli competenze tecniche, di ingenti finanziamenti e di un ambiente ricco di bersagli. Gli utenti devono capire che non sono colpiti solo dagli attacchi di phishing, ma anche da una crescente varietà di minacce su tutti i loro sistemi di comunicazione e collaborazione, sui dispositivi personali utilizzati da loro stessi o dai loro dipendenti.

Sviluppare politiche adeguate

I primi passi di qualsiasi organizzazione o individuo dovrebbero essere lo sviluppo di politiche dettagliate e approfondite, incentrate su tutti gli strumenti utilizzati. Queste politiche devono tenere conto degli obblighi legali, normativi e di altro tipo per criptare le e-mail e altri contenuti che contengono dati sensibili o confidenziali; monitorare tutte le comunicazioni alla ricerca di malware inviate a blog, social media e altre sedi; e controllare l’uso di dispositivi personali che accedono ai sistemi aziendali.

Rafforzare la cura delle password

La forza delle password deve corrispondere alla sensibilità e al rischio associato alle risorse di dati a cui si accede e deve essere cambiata regolarmente.

Gli utenti che gestiscono informazioni sensibili devono applicare l’autenticazione a più fattori.

Mantenere i sistemi aggiornati

Le applicazioni, i sistemi operativi e le vulnerabilità del sistema possono consentire ai malintenzionati di infiltrarsi con successo nelle difese aziendali. Non bisogna ignorare gli aggiornamenti.

È opportuno ispezionare ogni applicazione e sistema al fine di individuare eventuali vulnerabilità, installando gli aggiornamenti con le patch più recenti dei fornitori.

Installare una barra degli strumenti del browser anti-phishing

I browser Internet più diffusi possono essere personalizzati con strumenti anti-phishing. Questi strumenti eseguono un rapido controllo del sito web a cui si accede e lo confrontano con elenchi di siti di phishing noti, generando un avviso se viene trovata una corrispondenza.

Utilizzare i firewall

I firewall di alta qualità fungono da scudo tra il dispositivo personale dell’utente e il mondo esterno. Ne esistono due tipi diversi: un firewall desktop e un firewall di rete. Il primo è un tipo di software che protegge il dispositivo personale dell’utente finale, mentre l’altro è un’implementazione hardware per la rete. L’utilizzo di entrambi riduce drasticamente le probabilità di infiltrazione di hacker e phisher.

Utilizzare un software antivirus

Un buon antivirus include firme speciali che proteggono dalle minacce e dalle falle conosciute. Tenete aggiornato il software antivirus, poiché vengono aggiunte continuamente nuove definizioni. Le impostazioni di antispyware e firewall dovrebbero essere utilizzate per prevenire gli attacchi di phishing e contribuire a evitare danni ai sistemi IT.

Implementare soluzioni antiphishing

Sono disponibili molte soluzioni che possono essere implementate on-premises o nel cloud per rilevare, isolare e rimediare alle minacce di phishing. Anche se negli ultimi due anni lo spam è in calo, è ancora un metodo efficace per distribuire malware, compreso il ransomware.

Utilizzare servizi di analisi vulnerabilità e monitoraggio dati

Esistono servizi che monitorano la diffusione dei dati aziendali in contesti di rischio e mostrano l’esposizione al cyber risk dell’azienda, offrendo assistenza in caso di vulnerabilità informatiche. La consapevolezza delle proprie vulnerabilità è infatti essenziale per poter rimediare tempestivamente e scongiurare possibili attacchi.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video & Podcast
Social
Iniziative
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • l'analisi di bertelè

    Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

    26 Apr 2024

    di Umberto Bertelè

    Condividi

Prossimo

Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

Articolo 1 di 2