BEC Business Email Compromise.

BEC è l'attacco di social engineering mirato che impersona un dirigente o un fornitore per dirottare un pagamento o indurre un dipendente ad approvarlo. Nessun malware richiesto: puro pretexting. La perdita media per incidente supera di gran lunga quella del ransomware. I controlli di processo (segregazione dei compiti, verifica tramite richiamata) lo individuano; la tecnologia da sola non basta.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Il punto di vista di Cyber Academy

BEC è l'attacco di social engineering mirato che impersona un dirigente o un fornitore per dirottare un pagamento o indurre un dipendente ad approvarlo. Nessun malware richiesto: puro pretexting. La perdita media per incidente supera di gran lunga quella del ransomware. I controlli di processo (segregazione dei compiti, verifica tramite richiamata) lo individuano; la tecnologia da sola non basta.

Cosa distingue il BEC dal phishing ordinario

Il Business Email Compromise è una frode condotta tramite pretesto anziché tramite payload. L'attaccante non ha bisogno di un link malevolo né di un allegato che installa malware. Gli serve una storia plausibile, un senso di urgenza e una vittima con l'autorità di spostare denaro o dati. Un dominio falsificato o somigliante, una casella di posta compromessa o un indirizzo registrato di recente che assomiglia a un fornitore noto bastano a preparare la scena. Poiché nulla di tecnicamente malevolo transita sulla rete, i gateway di posta sicura, gli antivirus e le sandbox dei link lasciano spesso passare il messaggio. L'attacco vive interamente nella conversazione.

Per questo il BEC si colloca accanto al phishing nella stessa famiglia, pur comportandosi diversamente nella pratica. Il phishing generico è una rete ampia lanciata per ottenere credenziali o clic. Il BEC è paziente e mirato: l'attaccante studia l'organigramma, individua chi approva le fatture, osserva il tono delle email interne e attende un momento credibile, come un'acquisizione, una compravendita immobiliare o un direttore finanziario in trasferta all'estero. Il guadagno è un singolo bonifico fraudolento o un accredito stipendiale dirottato, spesso di importo elevato, anziché una password sottratta.

Le varianti comuni che incontrano i professionisti

Il BEC è una categoria, non un singolo trucco. La stessa logica di pretesto viene riutilizzata contro qualunque processo che muove valore all'interno dell'organizzazione.

  • Frode del CEO: un attaccante impersona un alto dirigente e fa pressione su un dipendente della funzione finanziaria perché esegua un bonifico urgente e riservato, facendo leva sulla gerarchia e sulla discrezione per scoraggiare le domande.
  • Frode del fornitore, detta anche dirottamento delle fatture: un fornitore fidato sembra inviare via email nuove coordinate bancarie, così che la successiva fattura legittima venga pagata sul conto dell'attaccante.
  • Dirottamento dello stipendio: un dipendente sembra chiedere la modifica del conto di destinazione del proprio stipendio, reindirizzando di nascosto la propria retribuzione verso il truffatore.
  • Compromissione dell'account: una vera casella di posta interna viene compromessa, così che la richiesta fraudolenta arrivi da un indirizzo autentico con uno storico autentico, il che elimina la maggior parte dei consueti segnali d'allarme.
  • Impersonificazione di avvocato o consulente legale: il pretesto fa leva su un'operazione riservata e con tempi stretti, in cui ci si aspetta segretezza e la verifica appare sgarbata.

Perché qui il processo batte la tecnologia

L'autenticazione delle email aiuta. SPF, DKIM e DMARC aumentano il costo della falsificazione diretta del dominio e dovrebbero essere implementati. Ma non fanno nulla contro un dominio somigliante, un indirizzo di posta web gratuito o una casella di posta interna realmente compromessa, che sono i canali più usati dal BEC reale. I controlli decisivi sono procedurali, di competenza della funzione finanziaria e operativa anziché degli strumenti di sicurezza.

  • Separazione dei compiti, in modo che nessuna singola persona possa sia richiedere sia autorizzare un pagamento.
  • Verifica con richiamo fuori banda: confermare qualunque coordinata bancaria nuova o modificata, e qualunque bonifico insolito, utilizzando un numero di telefono già agli atti, mai un numero o un contatto fornito all'interno della richiesta stessa.
  • Una regola ferma secondo cui urgenza e riservatezza non aggirano mai il normale iter di approvazione; queste due emozioni sono gli strumenti dell'attaccante.
  • Soglie di doppia autorizzazione per i bonifici e per le modifiche delle coordinate bancarie dei fornitori.

Dove si colloca il BEC nel quadro normativo

Il BEC è una causa primaria di perdite finanziarie legate alla posta elettronica, il che lo colloca pienamente nell'ambito che un sistema di gestione della sicurezza delle informazioni è chiamato ad affrontare. Sotto un SGSI ISO 27001 il trattamento pertinente combina formazione di sensibilizzazione, controlli sulle relazioni con i fornitori e le procedure operative che disciplinano i pagamenti. Quando il BEC ha successo e vengono esposti dati personali, per esempio tramite una casella di posta compromessa piena di corrispondenza, può anche far scattare obblighi di violazione dei dati personali ai sensi del GDPR, ed è per questo che il piano di risposta deve coinvolgere l'ufficio legale e la funzione di protezione dei dati, non solo la finanza e l'IT.

Per i professionisti, il messaggio è che la difesa dal BEC è una responsabilità condivisa. La sicurezza presidia l'autenticazione delle email, il monitoraggio e la sensibilizzazione. La finanza presidia i controlli sui pagamenti che fermano davvero la frode. Trattarlo come un problema puramente tecnico da risolvere con un gateway migliore è l'errore che tiene in vita le perdite.

Frequently asked questions

01In cosa è diverso il BEC dal phishing?

Il BEC è un sottotipo mirato di phishing incentrato sul pretesto anziché sul payload. Il phishing generico lancia una rete ampia per ottenere credenziali o clic, mentre il BEC studia un'organizzazione specifica e impersona un dirigente o un fornitore noto per dirottare un pagamento. Il BEC di solito non contiene link o allegati malevoli, perciò i filtri tecnici spesso lo lasciano passare.

02Perché i gateway di sicurezza della posta non intercettano il BEC?

Perché spesso non c'è nulla di tecnicamente malevolo da rilevare. Un dominio somigliante, un account di posta web gratuito o una casella di posta interna realmente compromessa possono inviare un messaggio impeccabile, senza link né allegato. L'autenticazione come DMARC ferma la falsificazione ma non questi canali, perciò i controlli decisivi sono procedurali.

03Quale singolo controllo ferma la maggior parte delle frodi BEC?

La verifica con richiamo fuori banda. Prima di pagare un conto bancario nuovo o modificato, o di dare seguito a qualunque bonifico insolito, confermate l'istruzione per telefono usando un numero già agli atti, mai un recapito fornito all'interno della richiesta stessa.

04Il BEC è una violazione dei dati da notificare?

Può esserlo. Se una casella di posta compromessa espone dati personali, il BEC può far scattare obblighi di violazione dei dati personali ai sensi del GDPR. Il piano di risposta dovrebbe coinvolgere l'ufficio legale e la funzione di protezione dei dati accanto alla finanza e all'IT.

05L'MFA previene il BEC?

L'MFA, idealmente un MFA resistente al phishing, aiuta a prevenire la variante di compromissione dell'account in cui una vera casella di posta viene dirottata. Non fa nulla contro i domini somiglianti o l'impersonificazione esterna, perciò deve essere abbinato a controlli sul processo di pagamento.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.