Le frodi BEC tra ingegneria sociale e Intelligenza Artificiale

Le frodi Business Email Compromise (BEC) sono frodi informatiche effettuate ai danni di aziende di tutti i settori e di tutti i livelli che, sfruttando tecniche di ingegneria sociale, inducono dirigenti di alto profilo o dipendenti del comparto amministrativo, ad autorizzare o effettuare direttamente ingenti pagamenti bancari su conti controllati dagli attaccanti.

Si tratta di una delle attività criminali fra le più praticate e le più redditizie. Secondo le statistiche diffuse dall’Internet Crime Complaint Center (IC3) dell’FBI, nel 2022, le campagne di tipo BEC o CEO fraud hanno causato perdite dichiarate per oltre 2,7 miliardi di dollari (circa 2,46 miliardi di euro), equivalenti al 27% di tutte quelle determinate dal crimine informatico nel 2022. Gli analisti stimano però le perdite complessive da frodi BEC, incluse quelle mai denunciate, a oltre 10,2 miliardi di dollari (circa 9,3 miliardi di euro).

In questo ambito, fra le minacce segnalate nel corso del 2023, oltre a quelle di tipo che sfruttano tecniche note, come W3LL Panel dell’omonimo avversario e il phishing kit EvilProxy, spiccano due nuovi malware basati sull’AI, chiamati WormGPT e FraudGPT.

Con l’avvento dell’Intelligenza Artificiale (AI), due attività alla base delle frodi BEC sono diventate relativamente più agevoli: la creazione di profili deepfake e la generazione di testi, associabili per stile e contenuto a specifiche personalità o entità, da sfruttare nel corso di interazioni, anche prolungate, con i target. Non è un caso che l’Europol, il 27 marzo di quest’anno, abbia pubblicato l’analisi intitolata “ChatGPT – The impact of Large Language Models on Law Enforcement, a Tech Watch Flash Report from the Europol Innovation Lab” (Publications Office of the European Union, Luxembourg), nella quale si mette in guardia sul possibile sfruttamento di questa soluzione commerciale legittima per l’orchestrazione di frodi. Ma le frontiere del crimine hanno velocemente superato le previsioni.

L’avversario W3LL distribuisce l’omonimo Phishing kit As-a-Service

L’avversario W3LL ha progettato il W3LL Panel, un Phishing kit As-a-Service le cui numerose funzionalità consentono di effettuare frodi BEC. W3LL risulta attivo almeno dal 2017, quando ha iniziato a commercializzare uno strumento custom per l’invio di e-mail di spamming chiamato W3LL SMTP Sender. In seguito, ha realizzato un kit di phishing personalizzabile, specificamente mirato contro account aziendali di Microsoft 365. Nel 2018, poi, sembra aver lanciato il W3LL Store, market in lingua inglese dove promuove e vende i propri strumenti malevoli a una comunità chiusa.

Secondo gli analisti, W3LL Panel può essere considerato uno dei kit di phishing più sofisticati in circolazione. La minaccia dispone degli strumenti necessari per tutte le fasi delle frodi BEC: selezione delle vittime, esche di phishing con allegati armati (predefiniti o personalizzati) o con link malevoli e lancio di e-mail di phishing. Fra i tool che la compongono, vi sono lo scanner di vulnerabilità chiamato OKELO, un’utility per il rilevamento automatico degli account denominata CONTOOL e un validatore di posta elettronica chiamato LOMPAT. La fase di phishing delle credenziali Microsoft 365 si basa su tecniche adversary/man-in-the-middle, in cui la comunicazione tra la vittima e il server Microsoft avviene attraverso il pannello W3LL e lo Store W3LL funge da sistema di backend.

Stando alle analisi dei gruppi e delle chat di Telegram controllati da W3LL, nonché dell’infrastruttura relativa alle campagne di phishing di W3LL Panel, sono stati presi mira almeno 56.000 account aziendali Microsoft 365. Di questi, 8.000 (circa il 14,3%) sono stati infine compromessi. La maggior parte delle vittime censite sono organizzazioni con base negli Stati Uniti (56,9%), in Europa (10,1%, e in particolare in Italia l’1,6%), Australia e Regno Unito. Fra i più colpiti vi sono i settori manifatturiero e ingegneristico (17,5%), quelli dell’IT (10,6%), del consulting (8,2%), dei servizi finanziari (8,0%), sanitario (7,5%) e della formazione (4,3%).

EvilProxy mira soprattutto ai funzionari C-level

EvilProxy è una piattaforma di Phishing-as-a-Service progettata per effettuare attacchi soprattutto contro funzionari di alto livello. L’obiettivo è la raccolta di credenziali, cookie di sessione e token per l’autenticazione a più fattori di numerosi servizi come Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo e Yandex.

Gli analisti hanno calcolato che attraverso EvilProxy, nelle più recenti campagne, sono state inviate circa 120.000 e-mail di phishing a centinaia di organizzazioni distribuite su tutto il globo. Nel dettaglio, il 39% delle vittime accertate sono dirigenti C-level. L’accesso ad account di questo livello consente, nell’immediato, di monetizzare l’attività rivendendo sia l’accesso stesso, sia le informazioni confidenziali esfiltrate dai sistemi. Inoltre, permette di monitorare nel tempo le aziende target, di studiarne la cultura, la gerarchia e i processi organizzativi e produttivi, in modo da preparare successivi attacchi particolarmente mirati, comprese le frodi BEC.

Le nuove frontiere del BEC: WormGPT e FraudGPT

In ambienti underground sono comparsi due nuovi malware, chiamati WormGPT e FraudGPT, che vengono presentati come versioni malevole di soluzioni commerciali di Intelligenza Artificiale generativa come ChatGPT di OpenAI. Questi malware, le cui finalità sono dichiaratamente offensive, sono destinati ad entrare in contesti di attacco basati su tecniche di ingegneria sciale, dove ChatGPT è già ampiamente sfruttato, consentendo agli avversari un considerevole salto di qualità tecnico ed operativo. 

WormGPT e FraudGPT dispongono di funzioni che facilitano le attività offensive nella fase di redazione e formattazione di comunicazioni finalizzate al phishing. Le potenzialità di entrambi risiedono in due fattori essenziali: la relativa facilità di uso, anche da parte di attaccanti con limitate competenze linguistiche, e l’elevato livello dei testi generati.

WormGPT è basato su un modulo AI che si appoggia a GPTJ, un modello linguistico di grandi dimensioni, open-source, sviluppato nel 2021 da EleutherAI. Oltre a produrre testi corretti dal punto di vista grammaticale e sintattico, fornisce agli attaccanti una vasta gamma di funzioni, fra le quali la possibilità di formattazione con font di qualsiasi tipo e la possibilità di conservare in memoria tutte le chat. Gli analisti ne hanno testato le potenzialità e, sebbene non siano riusciti a risalire al set di dati specifici utilizzati durante il processo di formazione del bot, hanno scoperto che WormGPT dispone di straordinarie potenzialità nell’elaborazione di e-mail malevole. Per fare una prova, gli hanno richiesto di creare un messaggio di posta elettronica destinato a fare pressione su un account manager affinché paghi una fattura fraudolenta. Il risultato ottenuto, secondo quanto viene riferito, è stato un testo impeccabile, sia dal punto di vista grammaticale che da quello sintattico, che impiega sofisticate strategie retoriche per persuadere il destinatario.

FraudGPT è noto almeno da luglio 2023. Viene distribuito sia nel dark web che attraverso un canale Telegram. Uno dei suoi principali aspetti malevoli è che non dispone di quei controlli e limitazioni integrati che impediscono a ChatGPT di eseguire o rispondere a richieste inappropriate. Le richieste che si possono inviare al bot non riguardano solo la fase di ingegneria sociale. Infatti, oltre a scrivere specifici SMS/e-mail di spear phishing, creare pagine di phishing e carding (sottrazione dei dati delle carte di pagamento), FraudGpt sarebbe in grado di scrivere codice malevolo e trovare sistemi vulnerabili esposti su internet.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.