Sotto attacco?
La Business Email Compromise rimane una delle tecniche di criminalità informatica più efficaci e dannose attualmente in uso. A differenza del ransomware o degli attacchi guidati da malware, la BEC non si basa su exploit o payload dannosi. Si basa su persone, fiducia e processi aziendali di routine. È proprio per questo che continua ad avere successo, anche nelle organizzazioni con controlli tecnici di sicurezza maturi.
I moderni attacchi BEC si sono evoluti ben oltre le semplici e-mail di phishing. Gli aggressori ora prendono di mira le identità, dirottano le sessioni live, aggirano l'autenticazione a più fattori e persistono silenziosamente nelle caselle di posta elettronica per settimane o mesi. In questo ambiente, la formazione tradizionale di sensibilizzazione non è più sufficiente. È necessario un approccio gestito e adattivo alla consapevolezza della sicurezza, che si evolva insieme al comportamento degli aggressori e riduca attivamente il rischio.
Cosa sono gli attacchi BEC?
Un attacco BEC è essenzialmente un'intrusione guidata dall'identità e progettata per manipolare le comunicazioni aziendali legittime. L'obiettivo dell'aggressore è raramente il furto immediato. Cerca invece di accedere a caselle di posta fidate, conversazioni interne e flussi di lavoro finanziari. Grazie a strumenti di intelligenza artificiale, gli aggressori sono in grado di far apparire professionali le e-mail e le comunicazioni di phishing e di utilizzare i deepfake per ingannare le persone.
Una volta entrati, gli aggressori osservano il funzionamento dell'organizzazione. Imparano chi approva i pagamenti, come comunicano i fornitori, come i dirigenti scrivono le e-mail e quali processi vengono seguiti durante le transazioni di routine. La frode finale è spesso sottile, ben programmata e convincentemente legittima.
Poiché non è coinvolto alcun malware e le comunicazioni appaiono autentiche, i BEC spesso eludono i tradizionali strumenti di sicurezza delle e-mail. Ecco perché il comportamento umano e la consapevolezza giocano un ruolo decisivo nel bloccare tempestivamente questi attacchi.
Come funzionano i moderni attacchi BEC
Oggi le indagini BEC iniziano sempre più spesso con il furto di sessioni e token piuttosto che con il furto di password. Le tecniche Adversary-in-the-Middle consentono agli aggressori di intercettare i flussi di autenticazione in tempo reale, catturando i token di sessione validi dopo che l'utente ha effettuato l'accesso. Ciò consente loro di aggirare completamente l'MFA senza attivare avvisi evidenti.
Una volta autenticati, gli aggressori operano come l'utente. Accedono a caselle di posta elettronica, servizi cloud, strumenti di collaborazione e condivisioni di file senza dover effettuare una nuova autenticazione. Questo cambiamento ha reso il furto di token e di sessioni il motore principale delle moderne compromissioni BEC.
Da qui, gli aggressori stabiliscono la persistenza. Vengono create regole per le caselle di posta elettronica per nascondere gli avvisi di sicurezza o deviare le risposte. I token OAuth vengono abusati per mantenere l'accesso anche dopo la modifica delle password. In alcuni casi, gli account inattivi o poco monitorati vengono utilizzati come punti di sosta per espandere ulteriormente l'accesso.
Queste tecniche consentono agli aggressori di rimanere invisibili mentre mappano le relazioni interne e pianificano la loro prossima mossa.
Furtività, persistenza e movimento laterale
Gli aggressori BEC raramente si precipitano. La furtività è il loro vantaggio. Rimanendo silenziosi, riducono il rischio di essere scoperti mentre raccolgono informazioni.
I broker di accesso e i fornitori compromessi svolgono un ruolo sempre più importante in questa fase. Un attaccante può ottenere l'accesso iniziale attraverso una terza parte, una casella di posta elettronica di un fornitore o un account dimenticato che ha ancora accesso ai sistemi condivisi. Da lì, si sposta lateralmente, seguendo le catene di fiducia piuttosto che le vulnerabilità tecniche.
Questo movimento laterale è sociale piuttosto che tecnico. Gli aggressori osservano come le persone comunicano, chi si fida di chi e dove si trova l'autorità. Quindi sfruttano queste relazioni per aumentare l'accesso o avviare richieste fraudolente.
Senza visibilità delle anomalie comportamentali e delle preoccupazioni segnalate dagli utenti, queste intrusioni spesso passano inosservate fino a quando non si sono già verificati danni economici.
Riconoscere i primi segnali di allarme
Uno degli aspetti più trascurati della difesa contro i BEC è il riconoscimento degli indicatori precoci di compromissione. Molto prima che il denaro si muova, ci sono segnali comportamentali che indicano che qualcosa non va.
Questi possono includere posizioni di login insolite, modifiche alle regole della casella di posta elettronica, consenso inaspettato alle applicazioni OAuth o sottili cambiamenti nel tono e nella tempistica delle e-mail. Gli aggressori possono improvvisamente mostrare interesse per le conversazioni finanziarie, i dettagli dei fornitori o i flussi di lavoro di approvazione che prima ignoravano.
La consapevolezza della sicurezza gestita svolge un ruolo fondamentale in questo caso. Quando gli utenti vengono addestrati a riconoscere questi segnali e incoraggiati a segnalare qualsiasi cosa insolita, il rilevamento si sposta dal solo SOC all'intera organizzazione. La segnalazione tempestiva spesso trasforma quello che avrebbe potuto essere un grave incidente finanziario in un evento di sicurezza contenuto.
.png?width=2873&height=1600&name=image%20(1).png)
Azioni difensive che potete intraprendere ora
La difesa contro i BEC richiede un approccio stratificato che combina l'indurimento dell'identità, il rilevamento, la risposta e la consapevolezza.
Per ridurre l'abuso delle sessioni, è necessario applicare forti politiche di accesso condizionato, tra cui controlli sulla posizione, fiducia nei dispositivi e controlli di autenticazione continui. Le protezioni dell'identità devono andare oltre le password e l'MFA per includere il monitoraggio dei token e il rischio di sessione.
I controlli di sicurezza delle e-mail devono concentrarsi sull'analisi comportamentale piuttosto che sulla sola scansione di link o allegati dannosi. Le e-mail dei BEC sono spesso pulite, consapevoli del contesto e socialmente ingegnerizzate.
Dal punto di vista delle operazioni di sicurezza, i team SOC devono mettere a punto la logica di rilevamento per identificare gli attacchi basati sull'identità, non solo il malware. I flussi di lavoro di risposta agli incidenti devono essere progettati per gestire la compromissione delle caselle di posta elettronica, la revoca dei token e il rapido contenimento degli account affidabili.
Tuttavia, nessuna di queste misure è pienamente efficace senza utenti informati.
Perché la fiducia zero è importante per la difesa da BEC
Gli attacchi di Business Email Compromise hanno successo abusando della fiducia. Una volta che gli aggressori ottengono l'accesso a un account legittimo, i modelli di sicurezza tradizionali spesso considerano l'utente e la sessione come sicuri. Zero Trust mette in discussione questo presupposto, operando secondo il principio che la compromissione deve sempre essere prevista.
Per la difesa da BEC, questo aspetto è fondamentale. Gli attacchi moderni si basano spesso sul dirottamento di sessione e sul furto di token, consentendo agli aggressori di bypassare l'MFA e di operare come utenti fidati. Zero Trust limita i danni verificando continuamente l'identità, la postura del dispositivo, la posizione e il comportamento, anche dopo il login.
L'accesso condizionato forte, l'accesso con il minimo privilegio e la valutazione continua della sessione rendono più difficile per gli aggressori persistere, cambiare direzione o accedere a flussi di lavoro finanziari sensibili. I movimenti laterali sono limitati e i comportamenti sospetti vengono individuati prima. Tuttavia, non si tratta di una pallottola d'argento.
Come ridurre il rischio di attacchi BEC con Integrity360
Gli attacchi Business Email Compromise sono una forma sofisticata di social engineering che spesso elude gli strumenti standard perché non utilizza malware o link dannosi evidenti. Per affrontare efficacemente questi attacchi è necessario un approccio che coinvolga l'intera organizzazione e che rafforzi la visibilità delle identità e dei comportamenti, rafforzi i controlli tecnici e costruisca la resilienza umana.
Maggiore visibilità dell'attività degli account e del comportamento degli utenti
La difesa contro i BEC inizia con la comprensione del comportamento delle identità e degli account. I servizi Managed Detection & Response (MDR) e Managed SIEM di Integrity360 forniscono un monitoraggio continuo 24 ore su 24, 7 giorni su 7, di reti, endpoint, carichi di lavoro in-the-cloud e registri per rilevare attività insolite, tra cui accessi anomali, modifiche alle regole delle caselle di posta o anomalie del consenso OAuth che spesso segnalano account compromessi. Queste fonti di telemetria aiutano a identificare tempestivamente gli schemi sospetti, molto prima che il denaro si muova.
Applicare il rilevamento assistito dall'AI con la convalida di esperti
Le minacce moderne si muovono velocemente e gli strumenti assistiti dall'intelligenza artificiale aiutano a far emergere sottili deviazioni che potrebbero indicare un attacco BEC. L'MDR di Integrity360 e l'MDR di CyberFire sfruttano l'analisi avanzata e la profilazione del comportamento per rilevare l'abuso di identità, mentre analisti di sicurezza esperti convalidano, danno priorità e rispondono agli avvisi, riducendo i falsi positivi e migliorando i risultati del rilevamento.
Rilevamento automatico e risposta rapida
Quando un account si comporta in modo inaspettato, la rapidità è fondamentale. L'MDR di Integrity360 offre un rilevamento automatico e una risposta rapida agli incidenti in tutta la proprietà. Grazie agli analisti esperti che operano da più centri operativi di sicurezza, è possibile contenere rapidamente le attività sospette, tra cui l'isolamento delle sessioni, la revoca dei token e la bonifica delle credenziali compromesse, riducendo i tempi di attesa e fermando gli aggressori prima che intensifichino le tattiche BEC.
Consapevolezza della sicurezza gestita e continua
Il comportamento degli aggressori si basa spesso su spunti sociali, sfruttamento della fiducia o manipolazione dei processi interni. Il servizio di Managed Security Awareness di Integrity360 va ben oltre l'e-learning generico, progettando campagne e simulazioni continue e personalizzate che riflettono scenari BEC reali. Questi programmi aiutano i dipendenti, soprattutto quelli che ricoprono ruoli ad alto rischio come la finanza o il supporto ai dirigenti, a riconoscere l'ingegneria sociale sofisticata e a segnalare tempestivamente i potenziali problemi, trasformando la forza lavoro dell'organizzazione in una linea di difesa attiva.
Servizi di sicurezza Microsoft
I servizi di sicurezza Microsoft gestiti da Integrity360 aiutano le organizzazioni a ottenere molto più valore e protezione dagli investimenti Microsoft esistenti, in particolare Microsoft Entra ID, Microsoft Defender e Microsoft Sentinel. Supportiamo le organizzazioni nella configurazione e nell'ottimizzazione dei criteri di accesso condizionato, dei controlli di protezione dell'identità e dell'applicazione dell'MFA per ridurre il rischio di dirottamento delle sessioni e di abuso dei token, comunemente utilizzati nei moderni attacchi BEC.
Rafforzare i controlli di autenticazione e identità
L'abuso di identità è al centro degli attacchi BEC. Integrity360 offre anche servizi di Managed Identity Security e una guida attraverso le sue risorse "Defending Identities" per aiutare le organizzazioni a implementare un forte accesso condizionato, il monitoraggio dei token e le best practice di igiene dell'identità che rendono più difficili le tecniche di adversary-in-the-middle e i dirottamenti di sessione.
Rafforzare i controlli tecnici e i processi
Una buona igiene informatica riduce il rischio secondario. Integrity360 supporta il patching continuo, la configurazione sicura e la gestione continua dell'esposizione alle minacce per garantire l'ottimizzazione di livelli difensivi quali il filtraggio delle e-mail, l'indurimento degli endpoint e la segmentazione della rete. Queste misure non solo riducono la probabilità di escalation di BEC, ma supportano anche un rapido contenimento quando compaiono problemi.
Combinando una maggiore visibilità, un rilevamento convalidato da esperti, una risposta automatica e un programma di sensibilizzazione gestito, le organizzazioni con Integrity360 possono migliorare significativamente la loro difesa contro gli attacchi BEC. Questo approccio a più livelli affronta sia i segnali tecnici che gli aggressori emettono sia i comportamenti umani che prendono di mira. Se desiderate saperne di più su come gli esperti di Integrity360 possono aiutare la vostra organizzazione, contattateci.
