Tra il 2019 e il 2021 negli USA si sono registrati diversi attacchi di tipo BEC/EAC (Business Email Compromise / Account Email Copromise) con l’utilizzo di piattaforme di virtual meeting.
Gli attaccanti utiliizzano queste tecniche in modi diversi:
- Violazione dell’account email di un responsabile finanziario (CEO o CFO) e successiva richiesta ad un dipendente di partecipare ad un meeting a distanza tramite una qualche piattaforma di virtual meeting. Nel corso del meeting i criminali mostrano al dipendente una foto statica del CEO / CFO (ricavata ad esempio da un profilo social) e non attivano l’audio o fanno sentire un audio molto disturbato per poi comunicare che, a causa di problemi di rete, non è possibile attivare video e audio. Il dipendente quindi viene invitato a prendere istruzioni per procedere con un qualche pagamento dalla chat della piattaforma o tramite una successiva email (proveniente sempre dall’account compromesso).
- Violazione dell’account email di un dipendente da parte di un criminale che, in questo modo, si inserisce in un meeting virtuale per raccogliere informazioni sul business dell’organizzazione e/o su pagamenti intercettabili
- Compromissione dell’account email di un CEO per inviare email false ad un dipendente contenenti istruzioni per un pagamento
Non ci sono protezioni automatiche contro questo tipo di attacchi, il suggerimento è quello di sensibilizzare le possibili “vittime” ad adottare particolari cautele come, ad esempio:
- L’invitato ad un meeting che si tiene tramite una piattaforma non comunemente utilizzata nell’organizzazione dovrebbe chiedere un’ulteriore conferma ad un terzo invitato o al mittente stesso della convocazione
- Utilizzare l’autenticazione a due fattori per confermare le richieste di modifica ad un email account aziendale
- Assicurarsi che gli URL presenti in una email (il link di invito alla video conferenza) siano riconducibili al mittente
- Verificare che gli hyperlink presenti nelle email non contengano nomi di dominio simili ma non esattamente identici a quello verso cui dovrebbero puntare
- Non inviare credenziali di login di qualche tipo via email
- Attenzione che l’indirizzo destinatario che compare cliccando su “rispondi” ad una email sia esattamente quello che ci si aspetta