L’ aumento del 250% delle compromissioni della posta elettroni aziendale (BEC, Business Email Compromise) nell’ultimo anno dovrebbe far preoccupare ogni organizzazione, così come le stime di perdite di 26 miliardi di dollari negli ultimi cinque anni a causa di questi attacchi. Mentre alcune organizzazioni considerano la whitelist dei loro elenchi di posta elettronica per proteggersi, a volte incoraggiate dal loro fornitore di sicurezza della posta elettronica, questa strategia non funziona contro il panorama in continua evoluzione delle minacce di posta elettronica.

L’ Executive Spoofing, lo Spear Phishing e altre minacce e-mail avanzate sono emerse come un problema critico per le aziende di tutto il mondo, nonostante siano relativamente nuove sulla scena. Il novantadue percento delle organizzazioni dichiara di esserne state vittima, con il 23% che ha subito danni finanziari diretti. Secondo il recente rapporto Verizon Data Breach Investigations, il 94 percento di tutti gli attacchi informatici di successo inizia con la posta elettronica inviata a una vittima ben mirata, con conseguenti perdite medie di $ 1,6 milioni. Quando un attacco porta a una violazione dei dati, questa cifra sale a una media di $ 7 milioni per incidente .

Con tutto questo come sfondo, è facile capire perché un modello di sicurezza progettato per consentire solo alle e-mail provenienti da domini e indirizzi IP attendibili di raggiungere le caselle di posta dei dipendenti sarebbe allettante.

Sfortunatamente, tali soluzioni basate sul whitelisting sono nella migliore delle ipotesi una blanda protezione, e spesso si rivelano estremamente dannose. Ecco tre dei motivi per cui questo approccio potrebbe lasciare le organizzazioni aperte agli attacchi.

 

#1 Il DMARC può fare solo una parte del lavoro

Il whitelisting viene in genere ottenuto potenziando i gateway di posta elettronica sicuri (SEG) con un database di domini legittimi derivati ​​da autenticazione, report e conformità dei messaggi basati su dominio ( DMARC ), che è un protocollo di autenticazione e-mail importante che consente alle infrastrutture di invio e ricezione di scambiare informazioni al fine di rilevare le e-mail inviate da domini falsificati o simili.

Sebbene DMARC abbia vantaggi significativi, le organizzazioni che utilizzano questo approccio devono registrare ogni singola permutazione possibile di ciascun dominio di loro proprietà. Altrimenti, non c’è nulla che impedisca ai truffatori di registrare per primi quei domini e persino di configurarli con record DMARC legittimi. Le loro e-mail verrebbero quindi inviate da domini attendibili, nonostante siano controllate dai truffatori.

E dato che solo il 17% di Fortune 500 ha un record DMARC che impedirebbe alla posta elettronica illegittima di raggiungere la posta in arrivo, la whitelist basata rigorosamente sui risultati di autenticazione DMARC bloccherebbe la posta legittima dalla stragrande maggioranza delle aziende affermate che non hanno ancora implementato un record DMARC.

 

# 2 Non si può semplicemente oscurare il cloud  

I criminali informatici sfruttano sempre più Gmail, Yahoo, Microsoft Office 365 e altre piattaforme di posta elettronica basate su cloud al fine di aggirare i modelli di sicurezza basati sulla fiducia. Dopotutto, le organizzazioni non possono semplicemente inserire nella blacklist indirizzi gmail.com o outlook.com, poiché inviano anche enormi quantità di email legittime.

In questi attacchi, i truffatori creano account gratuiti e inseriscono semplicemente il nome di un individuo o marchio fidato nel campo “Da”. Poiché il loro punto di origine è un servizio di posta elettronica hosted, consolidato e ampiamente utilizzato, questi attacchi basati sullo sfruttamento delle identità passerebbero attraverso i controlli di sicurezza basati sul whitelisting.

Inoltre, sfruttando una funzionalità di Gmail che consente loro di creare innumerevoli varianti di un indirizzo e-mail con lo stesso account, i gruppi criminali sono in grado di ridimensionare i propri attacchi con facilità. Un organizzazione criminale BEC internazionale che abbiamo seguito , ad esempio, ha utilizzato questo approccio per registrare 14 account di prova con un servizio di lead commerciali per raccogliere dati per il lancio di nuovi attacchi e presentare 48 richieste di carte di credito per un valore di almeno $ 65.000.

Inoltre, nonostante i controlli di sicurezza integrati nelle piattaforme di posta elettronica hosted, le aziende che hanno migrato la posta elettronica nel cloud si sono classificate tra le più colpite da BEC . Gli approcci basati sul whitelisting potrebbero lasciare le aziende vulnerabili a questo tipo di attacco.

 

# 3 Attacchi a bassa tecnologia vanno contrastati con difese ad alta tecnologia

Mentre la maggior parte delle truffe BEC sono relativamente a bassa tecnologia e coinvolgono solo una o due frasi personalizzate progettate per ingannare il bersaglio, è necessario un approccio ad alta tecnologia per combatterle. Dal momento che le truffe BEC si mascherano come e-mail regolari, i criminali informatici possono cambiare rapidamente e facilmente tattiche mentre trovano nuovi modi per ingannare le loro vittime.

Un approccio whitelist è statico e richiederebbe un aggiornamento costante per combattere queste truffe, e potrebbe essere migliorato con informazioni disponibili solo dopo che un attacco ha colpito l’organizzazione.

 

# 4 Gli account compromessi ti danneggeranno  

Secondo i dati acquisiti nel nostro ultimo rapporto sulle tendenze , phishing e truffe BEC lanciati dagli account compromessi di individui e marchi fidati sono ora utilizzati nel 16% di tutti gli attacchi e-mail avanzati.

Un driver chiave per questi attacchi è la crescente disponibilità di credenziali di accesso e-mail rubate sul Dark Web. Dopo che un account e-mail aziendale è stato acquisito, i criminali informatici hanno accesso a tutti i contatti del proprietario, alle conversazioni e-mail in corso e agli archivi e-mail storici. Nella maggior parte dei casi, i truffatori utilizzano questi account e-mail compromessi per lanciare campagne di phishing. Altre volte, l’obiettivo è quello di ingannare i dipendenti aziendali nel fornire le proprie credenziali di accesso , che possono quindi essere vendute online.

Nei casi più sofisticati, tuttavia, un intruso si infiltra in un account di posta elettronica aziendale e lì rimane, sorvegliando i messaggi di posta elettronica al fine di lanciare attacchi altamente personalizzati ai clienti, ai partner o ai dipendenti delle aziende, al momento giusto. In effetti, questo è stato il caso di almeno alcune delle nove società quotate in borsa che recentemente hanno perso $ 100 milioni attraverso truffe BEC .

 

Non è il dominio che conta, ma l’identità

Man mano che BEC, phishing e altre minacce diventano sempre più diffuse, è chiaro che gli approcci basati sul whitelisting (o sul blacklisting) si fondano su un paradigma di sicurezza ormai fallace che tenta di bloccare segnali “cattivi” noti, in questo caso domini non attendibili.

Ma gli aggressori sanno come eludere queste protezioni, motivo per cui alcuni adottano un approccio più moderno. Agari Advanced Threat Protection , ad esempio, sfrutta la data science e fonti di dati in tempo reale raccolti da 2 trilioni di e-mail all’anno per mappare le comunicazioni e-mail tra individui, organizzazioni e infrastrutture al fine di modellare i comportamenti affidabili e autenticati che definiscono l’ affidabilità di ogni singolo mittente.

Quando l’attività di posta elettronica si discosta da questi schemi stabiliti a causa di account impersonati o compromessi, le aziende sono in grado di rilevare il problema e proteggersi da questi attacchi in tempo reale. Nessun whitelisting richiesto!

Per saperne di più, consulta un rapporto speciale di Agari e Osterman Research intitolato, Best practice per la protezione da phishing, ransomware e attacchi BEC