Campagna BEC che utilizza thread di e-mail falsi generati dall’intelligenza artificiale

11 agosto 2025

Di Hiwot Mendahun e del team di ricerca sulle minacce di Mimecast

Panoramica della campagna

Il team di ricerca sulle minacce di Mimecast ha individuato una campagna di Business Email Compromise (BEC) che sfrutta filoni di e-mail falsi generati automaticamente per perpetrare frodi relative alle fatture su larga scala (codice interno: MCTO5003). Questa campagna rappresenta un’evoluzione significativa nelle tattiche del BEC, in quanto combina le tecniche tradizionali di ingegneria sociale con un’automazione avanzata basata sull’intelligenza artificiale, al fine di creare conversazioni inventate ma convincenti tra dirigenti e fornitori di servizi esterni. Gli autori delle minacce creano catene di e-mail fasulle che sembrano rappresentare una corrispondenza aziendale legittima, con ogni thread accuratamente elaborato in modo da includere l’approvazione da parte dell’amministratore delegato o di un alto dirigente per il pagamento urgente di fatture. Le campagne mostrano chiari segni di automazione, dai contenuti delle e-mail generati dall’intelligenza artificiale agli allegati PDF creati in modo programmatico tramite la tecnologia dei browser headless immediatamente prima dell’invio delle e-mail

L'analisi tecnica della campagna evidenzia diversi indicatori che suggeriscono un'implementazione automatizzata.

L'analisi linguistica e strutturale del corpo dell'e-mail ha rivelato caratteristiche — quali un linguaggio estremamente scorrevole, un contesto coerente e l'assenza dei tipici errori grammaticali — che indicano chiaramente che il contenuto è stato generato da un modello linguistico di grandi dimensioni (LLM), piuttosto che redatto manualmente.

Il codice HTML dell'e-mail contiene diversi commenti incorporati che illustrano cosa va inserito in ciascuna sezione dell'e-mail.

<!-- AVVISO RELATIVO ALLA FATTURA ORIGINALE --> (FALSA)

<!-- CONFERMA DEL CEO --> (FALSO)

<!-- AGGIORNAMENTO SULLA RACCOLTA --> (FALSO)

<!-- SEGUITO DELL'E-MAIL DELL'AMMINISTRATORE DELEGATO --> 

<!-- AVVISO FINALE AL REPARTO CONTABILITÀ --> (PRIMO MESSAGGIO AL TEAM FINANZIARIO DI RIFERIMENTO)

Inoltre, in alcune campagne vengono utilizzati elementi di formattazione non standard, quali i tag <wbr /> e divisori visivi inseriti manualmente, il che indica una generazione sistematica piuttosto che un autentico inoltro di e-mail.

Le catene di e-mail contraffatte seguono in genere uno schema prevedibile: una fattura iniziale inviata da un presunto fornitore, seguita da una conferma da parte di un dirigente e che si conclude con istruzioni urgenti relative al pagamento. Tra le righe dell’oggetto più comuni figurano: “ "” (Fattura per la spesa pubblicitaria), “" ” ( "INV #[numeri]”), “" ” (Fattura per la spesa pubblicitaria) e “ "” (Ultimo sollecito per il pagamento), “" ” (Fattura per la spesa pubblicitaria), tutte volte a creare un senso di urgenza e a conferire legittimità. Le campagne si spacciano per marchi e servizi ben noti, tra cui, ad esempio, LinkedIn, varie società di consulenza e piattaforme pubblicitarie. Ogni thread creato su misura è personalizzato in base all’organizzazione di destinazione, includendo i nomi reali dei dipendenti e i contesti aziendali per aumentarne la credibilità.

Analisi dei file

Gli allegati in formato PDF presentano metadati coerenti, essendo stati tutti creati secondo specifiche tecniche identiche: Mozilla/5.0 HeadlessChrome/138.0.0.0 con Skia/PDF m138 come generatore. I timestamp relativi alla creazione dei file rivelano che le fatture vengono generate pochi istanti prima dell’invio dell’e-mail; le dimensioni identiche dei file nelle diverse campagne indicano un’elaborazione automatizzata dei modelli.

Sulla base delle campagne correlate, abbiamo riscontrato due livelli di richieste di pagamento: nel primo caso, in cui viene fornito un servizio di tipo professionale generico, l’importo richiesto è generalmente inferiore, compreso tra circa 4.850 e 10.000 dollari. Tuttavia, nelle campagne che si spacciavano per marchi noti abbiamo riscontrato un numero di richieste significativamente più elevato;

LinkedIn: da circa 12.000 a 80.000

ZoomInfo: circa 50.000 - 90.000

Proforma: circa 50k

Protezione Mimecast

Mimecast ha implementato funzionalità di rilevamento complete per identificare e bloccare le e-mail associate a questa campagna BEC automatizzata. Continuiamo a monitorare l’evoluzione delle tattiche e delle tecniche utilizzate da questi autori di minacce per garantire che i nostri clienti rimangano protetti da questa sofisticata minaccia. Visiti la pagina “Protezione avanzata BEC” per saperne di più su come le nostre funzionalità avanzate di intelligenza artificiale (AI) e di elaborazione del linguaggio naturale (NLP) contribuiscano all’individuazione delle minacce in continua evoluzione.

Obiettivi:

Organizzazioni globali in tutti i settori

Indicatori di compromissione (IOC)

Oggetti comuni:

• Panoramica sulla fatturazione mensile effettiva
• Riepilogo mensile dei servizi di consulenza scalabili
• Pagamento in arretrato n. #INV103068 per [azienda]
• Ultimo sollecito relativo al Suo pagamento relativo alla fattura n. [numero]
• Fattura relativa alle spese pubblicitarie nel periodo [date]

Domini del mittente:

• zuki.com.vc
• adspendplatf.onice.io
• consumercomplaintonline.com
• outboundemailprotecction-onmsn.com
• june1.tw
• active-r.co.jp
• Consultant.com

Modelli di file:

• BS-INV-2025-0631.pdf
• DD-INV-2025-0631.pdf
• TG-INV-2025-0631.pdf

Indicatori tecnici:

• PDF Creator: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, simile a Gecko) HeadlessChrome/138.0.0.0 Safari/537.36
• Generatore PDF: Skia/PDF m138
• Dimensioni dei file: 57 kB in tutte le campagne
• Commenti HTML:  <!-- FOLLOW-UP VIA E-MAIL DELL'AMMINISTRATORE DELEGATO --> , <!-- CONTABILITÀ ALL'AMMINISTRATORE DELEGATO --> 

Raccomandazioni

Misure di sicurezza per la posta elettronica

• Implementi la protezione avanzata contro le truffe BEC per individuare la creazione di thread di posta elettronica falsi e modelli di formattazione HTML non standard
• Attuare l’analisi degli allegati per individuare i file PDF generati automaticamente che presentano firme di metadati sospette
• Configurare le politiche di analisi dei contenuti in modo da segnalare le e-mail contenenti richieste di pagamento urgenti in cui si finge di essere un dirigente

Controlli di processo

• Stabilire procedure di verifica multicanale per tutti i pagamenti delle fatture, richiedendo una conferma telefonica o di persona per le richieste urgenti
• Attuare la separazione delle funzioni nell’elaborazione dei pagamenti, assicurandosi che nessuna single persona possa autorizzare i pagamenti basandosi esclusivamente su istruzioni inviate tramite e-mail
• Creare processi standardizzati di inserimento dei fornitori che includano informazioni di contatto e dettagli di pagamento verificati

Formazione sulla sensibilizzazione degli utenti

• Formare i team finanziari e contabili sulle più recenti tattiche di BEC, in particolare sull’uso di filari di e-mail falsi in cui si finge di essere un dirigente
• Effettuare regolarmente simulazioni di phishing volte a verificare in modo specifico la capacità di riconoscere conversazioni inventate e scenari di pagamento urgenti
• Formare i dipendenti affinché siano in grado di individuare indicatori tecnici sospetti, quali indirizzi di risposta insoliti e incongruenze relative al dominio del mittente.

Ricerca proattiva delle minacce:

• Effettuare una ricerca nei registri delle ricevute e-mail per individuare gli IOC indicati nella presente notifica
• Si raccomanda di prestare attenzione a eventuali aumenti improvvisi delle e-mail relative alle fatture provenienti da domini nuovi o non verificati