23/09/2019

Włamanie na firmową pocztę e-mail może przynieść milionowe straty

Biznes Korporacje MŚP

Zhakowane konta są przeważnie wykorzystywane do dystrybucji spamu i omijania filtrów. Jednak jeśli ktoś przechwyci dane do skrzynki pocztowej, może jej użyć do czegoś znacznie gorszego, na przykład do ataku Business E-mail Compromise (BEC). W zeszłym miesiącu miał z nim do czynienia japoński producent części samochodowych, Toyota Boshoku Corporation. W efekcie firma poniosła szkodę, której wysokość szacuje się na około 4 miliardy jenów (ponad 37 milionów dolarów).

Co się wydarzyło?

Jak poinformowano w oficjalnym oświadczeniu w dniu 6 września, a także za pośrednictwem komentarzy do publikacji, nieznani cyberprzestępcy przeprowadzili atak typu BEC. Analiza incydentu nadal trwa, więc nie ujawniono jeszcze żadnych szczegółów — nie wiadomo, czy użyta została przechwycona skrzynka pocztowa, czy atakujący podszyli się pod kogoś. Wiemy tylko tyle, że poniesione straty finansowe są związane z przelewem bankowym, który jakaś osoba w firmie uznała za legalny.

Krótko po przesłaniu pieniędzy eksperci ds. bezpieczeństwa w firmie Toyota zdali sobie sprawę z tego, że pieniądze trafiły na jakieś konta zewnętrzne, jednak przelewu nie można już było cofnąć. Obecnie firma ubiega się o odzyskanie środków.

Na czym polega atak BEC?

W ataku BEC niekoniecznie musi dojść do przechwycenia skrzynki pocztowej. Czasami cyberprzestępcy podszywają się pod wyższych rangą pracowników firmy lub partnerów, wykorzystując do tego adresy innych firm. Jednak korzystanie z konta pocztowego należącego do osoby pracującej w atakowanej organizacji sprawia, że atak jest znacznie łatwiejszy do przeprowadzenia — w końcu wiadomość od kogoś, z kim naprawdę korespondujesz, znacząco zmniejsza podejrzenia.

Aby taki atak był skuteczny, cyberprzestępca musi oczywiście posiadać doskonałe umiejętności socjotechniczne: podszywanie się pod inną osobę i przekonanie kogoś, aby coś zrobił, nie jest łatwym zadaniem. Tu ponownie przechwycona skrzynka pocztowa znacznie ułatwia zadanie — wystarczy dokładnie przeanalizować zawartość folderów wiadomości odebranych i wysłanych.

Celem ataku BEC nie zawsze jest przelew środków pieniężnych (przekonanie kogoś, aby wysłał miliony dolarów, nie jest wcale takie łatwe). Znacznie częściej chodzi o wyłudzenie od ofiary poufnych danych.

Inne przykłady ataków BEC

Opisywany atak nie jest pierwszym przypadkiem tego rodzaju. W tym roku opisywaliśmy już schemat cyberprzestępców, którzy próbowali przejąć konta pracowników firmy. W maju opisaliśmy, jak cyberprzestępcy oszukali klub piłkarski, wykorzystując do tego niepoprawne dane płatności do opłaty za transfer gracza. W zeszłym miesiącu oszuści próbowali wyłudzić 2,9 miliona dolarów od miejskiego okręgu szkolnego, Portland Public Schools (Oregon). Z kolei w lipcu okręg szkolny Cabarrus County Schools (Karolina Północna) stracił 1,7 miliona dolarów po otrzymaniu fałszywych instrukcji poprzez pocztę e-mail. Początkowo personel przesłał 2,5 miliona dolarów — rzekomo na rzecz budowy nowej szkoły — jednak później odzyskał część pieniędzy.

Jak nie zostać ofiarą oszustwa

Chcąc zapewnić sobie ochronę przed socjotechniką, nie wystarczy zdać się na kwestie techniczne — zwłaszcza jeśli atakujący są zawodowcami i mają dostęp do skrzynki pocztowej osoby, pod którą się podszywają. Dlatego najlepszym wyjściem jest stosowanie się do poniższych zasad:

  • Przygotuj czytelną procedurę dokonywania przelewów pieniężnych, aby żaden pracownik nie mógł bez nadzoru dokonywać przelewów. Upewnij się, że przelewy na duże kwoty podlegają autoryzacji kilku osób na wyższym stanowisku.
  • Naucz pracowników podstaw cyberbezpieczeństwa, szczególnie aby sceptycznie podchodzili do odbieranych wiadomości e-mail. Tu przydatne mogą się okazać nasze programy zwiększające świadomość w kwestii bezpieczeństwa.
  • Aby uniemożliwić przechwytywanie firmowych kont pocztowych, zabezpiecz się przed phishingiem na poziomie serwera poczty. W tym celu zainstaluj specjalne rozwiązanie, na przykład Kaspersky Endpoint Security for Business.