Jak radzić sobie z wewnętrznymi atakami BEC

Ataki BEC, które używają zhakowanych skrzynek pocztowych, są szczególnie niebezpieczne. Zobacz, jak nauczyliśmy się je identyfikować.

Na przestrzeni ostatnich lat liczba ataków Business E-mail Compromise (BEC) wzrosła. Ich celem jest hakowanie korespondencji firmowej w celu popełniania przestępstw finansowych, zdobywania poufnych informacji i zaszkodzenie reputacji firmy. W naszym poprzednim poście opisaliśmy rodzaje tych ataków oraz sposoby ich unikania, a także wspomnieliśmy o przechwytywaniu poczty e-mail. Dziś opowiemy o najbardziej niebezpiecznym typie ataku BEC pochodzącym z wewnątrz organizacji. Niedawno rozwinęliśmy i zaimplementowaliśmy nową technologię służącą do ochrony przed tym właśnie zagrożeniem.

Dlaczego wewnętrzny atak BEC stanowi większe zagrożenie niż ten przeprowadzany z zewnątrz

Wewnętrzne ataki BEC różnią się od innych scenariuszy ataku tym, że oszukańcze wiadomości e-mail są wysyłane z adresów znajdujących się w obrębie firmy. Innymi słowy, aby rozpocząć atak wewnętrzny, intruz musi uzyskać dostęp do konta pocztowego pracownika. Oznacza to, że mechanizm autoryzacji poczty e-mail (DKIM, SPF, DMARC) w celu zapobiegania takim zagrożeniom bywa zawodny. Podobnie, nie można zbyt mocno liczyć na standardowe automatyczne narzędzia do ochrony przed phishingiem i spamem, które wyszukują niespójności w nagłówkach technicznych czy zmienionych adresów.

Zwykle wiadomość ze zhakowanej skrzynki pocztowej zawiera żądanie przesłania pieniędzy (do dostawcy, kontrahenta, organu podatkowego) lub udzielenia informacji poufnych. Wszystko jest okraszone odrobiną standardowej socjotechniki. Cyberprzestępcy ponaglają odbiorcę („Jeśli rachunek nie zostanie zapłacony dziś, firma zostanie ukarana grzywną”), grożą mu („Przelew miał zostać zlecony w zeszłym miesiącu, to ostatnia szansa!”), przybierają autorytatywny i pospieszający ton lub stosują inne sztuczki. A ponieważ wykorzystują prawdziwe adresy, całość może robić bardzo przekonujące wrażenie.

Ataki BEC pochodzące z wewnątrz organizacji to również wiadomości e-mail zawierające łącza do fałszywych stron, których adresy są inne niż adresy docelowej organizacji (lub innej zaufanej strony) — lecz różnią się zaledwie jedną lub dwiema literami (np. dużą literą „i” zamiast małej „L” lub na odwrót). Na stronie może znajdować się formularz płatności lub kwestionariusz wymagający podania poufnych informacji. Jeśli dostaniesz z adresu szefa e-maila typu: „Postanowiliśmy wysłać Cię na konferencję. Jak najszybciej zarezerwuj bilet z naszego konta”, w której link będzie przypominać stronę najważniejszego wydarzenia w branży, a podejrzeń nie wzbudzi również podpis wiadomości — jakie są szanse, że poświęcisz czas na dokładne przeanalizowanie jej?

Jak zabezpieczyć firmę przed atakami BEC od wewnątrz

Technicznie rzecz biorąc, taka wiadomość e-mail jest całkowicie uzasadniona, jedynym sposobem na rozpoznanie fałszywki jest analiza jej treści. Trenowanie algorytmów uczenia maszynowego w oparciu o wiele oszukańczych wiadomości może pomóc w rozpoznaniu przynęty i określeniu, czy wiadomość jest prawdziwa, czy jest elementem ataku BEC.

Na szczęście (albo i nie) próbek w tym zakresie nie brakuje. Każdego dnia nasze pułapki zbierają miliony wiadomości spamowych z całego świata. Mamy do dyspozycji znaczną liczbę e-maili phishingowych, które oczywiście nie są wewnętrznymi atakami BEC, ale stosują te same sztuczki i mają te same cele, więc możemy się uczyć na ich podstawie. Najpierw wykorzystujemy tę dużą liczbę próbek do wytrenowania klasyfikatora w kwestii identyfikowania wiadomości zawierających oznaki oszustwa. Kolejnym etapem procesu uczenia maszynowego jest praca bezpośrednio z tekstem. Algorytm ten wybiera warunki wykrywania podejrzanych wiadomości, na podstawie których rozwijamy reguły heurystyki, których używają nasze produkty do zidentyfikowania ataków. W proces ten jest zaangażowany cały zespół klasyfikatorów uczenia maszynowego.

Jednak nie jest to powód, aby osiadać na laurach. Nasze produkty potrafią teraz wykrywać znacznie więcej ataków BEC niż wcześniej, ale po uzyskaniu dostępu do konta poczty e-mail pracownika osoba postronna może nauczyć się jej stylu komunikacji i próbować ją naśladować podczas tego unikatowego ataku. Największe znaczenie ma tutaj zachowanie czujności.

Zalecamy długie i uważne analizowanie wiadomości, w których ktoś prosi o dokonanie przelewu pieniężnego lub ujawnienia poufnych danych. Warto stosować również dodatkową warstwę autoryzacji w postaci zadzwonienia lub napisania (przy użyciu innego kanału komunikacji) do nadawcy oraz porozmawianie z nim osobiście w celu uzgodnienia szczegółów.

Heurystyki, jakie generuje nasza nowa technologia zabezpieczająca przed atakami BEC, zastosowaliśmy w naszym produkcie Kaspersky Security for Microsoft Office 365, a także mamy plany wdrożenia ich również w innych rozwiązaniach.

Porady