Campagne di Attacco BEC – Settore Finance & Banking

 

Proto: N090717.

 

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di tentativi di frode diretti ad Organizzazioni italiane in ambito finanziario e bancario: gli attacchi sono motivati da ragioni finanziarie ed operati dai cyber-criminali in maniera mirata. La tipologia di attacco individuata rappresenta una variante della famiglia BEC (Business Email Compromise), dove l’attaccante tenta instaurare, infiltrare o redirigere conversazioni email impersonando una delle parti coinvolte al fine di sottrarre denaro alle vittime.

Gli attacchi recentemente individuati sono mirati a clienti di alto profilo di istituti bancari e finanziari italiani ed hanno l’obiettivo di autorizzare trasferimenti di denaro verso conti correnti controllati dai cyber-criminali. Il modus operandi rilevato in questi attacchi è il seguente:

  • Gli attaccanti contattano via email l’ufficio o i consulenti in area Private Banking, impersonando un reale cliente di alto profilo dell’organizzazione attaccata.
  • I truffatori chiedono bonifici bancari di emergenza via email, tipicamente indicando:
    • Di essere all’estero / in vacanza
    • Di avere problemi di avere problemi di connettività e raggiungibilità telefonica.
  • Forniscono inoltre un numero di telefono compatibile con la locazione geografica da loro indicata per eventuali verifiche via SMS.

Le email iniziali risultano provenire da VPS (Virtual Private Server) del provider “secureserver.net” (legato a GoDaddy) ed usano tecniche di spoofing atte ad ingannare la vittima in modo da far comparire nome ed indirizzo email reali del cliente impersonato all’interno della email fraudolenta. 
A seguito della prima risposta da parte degli incaricati dell’organizzazione sotto attacco, il flusso email viene rediretto verso un ulteriore indirizzo email molto simile a quello del cliente impersonato: in questo modo gli attaccanti rendono i successivi scambi email meno sospetti in caso di verifiche superficiali.

A questo proposito, qualora la Vostra organizzazione operi negli ambiti interessati, Yoroi suggerisce di comunicare internamente la presenza di questa tipologia minaccia in corso, di istruire il Vostro personale per richiedere supporto tecnico in caso di richieste similari o anomale.

Di seguito si riportano gli indicatori legati ai flussi email fraudolenti:

x-originating-ip: 160.152.12].61
x-sender: robert @ kuhleus .com


Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index