Jak postępować w razie ataku BEC?

Firmy na całym świecie regularnie padają ofiarą ataków typu Business E-mail Compromise. Wyjaśniamy, na czym polega zagrożenie oraz w jaki sposób można je zminimalizować.

Cyberprzestępcy nieustannie poszukują nowych sposobów atakowania firm. W ciągu ostatnich kilku lat znacząco wykorzystywali ataki typu Business E-mail Compromise (BEC), które są wymierzone w firmową korespondencję.

W 2019 roku sama organizacja US Internet Crime Complaint Center (IC3) zgłosiła FBI 23 775 takich incydentów — co stanowi wzrost o 3500 w porównaniu do 2018 r., a także wzrost wysokości strat z 1,2 mld dol. do 1,7 mld dol.

Co to jest atak BEC?

Atak BEC to ukierunkowana kampania cyberprzestępcza, która działa poprzez:

  1. Zainicjowanie wymiany wiadomości e-mail z pracownikami firmy (lub przejęcie istniejącej).
  2. Zdobycie zaufania pracownika.
  3. Zachęcanie do podjęcia działań, które są szkodliwe dla interesu firmy lub jej klientów.

Zazwyczaj działania te polegają na przesłaniu pieniędzy na konta przestępców lub wysłanie poufnych plików. Niedawno nasi eksperci zidentyfikowali prośbę, która została wysłana rzekomo od dyrektora generalnego firmy, zawierającą instrukcję wysłania w wiadomościach tekstowych kodów karty podarunkowej na określone numery telefonów.

Chociaż w atakach BEC często stosowane są sztuczki phishingowe, w rzeczywistości bywają one jeszcze bardziej wyrafinowane i obejmują ekspertyzę technologiczną oraz socjotechnikę. Co więcej, wykorzystane techniki są jedyne w swoim rodzaju: wiadomości nie zawierają szkodliwych łączy ani załączników, lecz atakujący próbują oszukać klienta pocztowego, a wraz z nim odbiorcę, tak aby wiadomość e-mail została uznana za oryginalną. Główną rolę odgrywa tu socjotechnika.

Atak poprzedza zwykle dokładne zebranie danych o ofierze. Następnie są one używane do zdobycia zaufania. Korespondencja może składać się z zaledwie dwóch lub trzech wiadomości, ale też może trwać kilka miesięcy.

Warto jeszcze wspomnieć o wieloetapowych atakach BEC, które łączą różne scenariusze i technologie. Na przykład cyberprzestępcy mogą najpierw ukraść dane zwykłego pracownika przy użyciu phishing ukierunkowanego, a następnie zaatakować wyższego rangą pracownika firmy.

Popularne scenariusze ataków BEC

Istnieje niewiele scenariuszy ataków BEC, jednak cyberprzestępcy zawsze będą wymyślać nowe. Jak wskazują nasze obserwacje, większość przypadków sprowadza się do jednego z czterech wariantów:

  • Fałszywy podmiot zewnętrzny. Atakujący podszywają się pod przedstawiciela organizacji, z którą współpracuje firma. Czasami naprawdę ona istnieje i firma naprawdę współpracuje z tą, w której pracuje ofiara. W pozostałych przypadkach cyberprzestępcy liczą na łatwowierność lub nieuwagę ofiary, udając, że reprezentują firmę, która tak naprawdę nie istnieje.
  • Polecenia od szefa. W tym przypadku cyberprzestępcy tworzą fałszywą wiadomość w imieniu (zwykle wysoko postawionego) menedżera i używają sztuczek technicznych lub socjotechniki.
  • Wiadomość od prawnika. Oszuści piszą do wysoko postawionego pracownika (a czasami nawet dyrektora generalnego) pilną wiadomość i żądają przelania pieniędzy lub podania wrażliwych danych. Często podszywają się pod wykonawcę, takiego jak zewnętrzny księgowy, dostawca czy firma logistyczna. Ponieważ jednak większość sytuacji, które wymagają pilnej i poufnej odpowiedzi, ma charakter prawny, takie wiadomości są zwykle wysyłane w imieniu prawnika lub firmy prawniczej.
  • Przechwycenie poczty e-mail. Osoba obca uzyskuje dostęp do poczty pracownika i wydaje polecenie przesłania pieniędzy lub danych lub rozpoczyna korespondować z osobami, które mają taką możliwość. Ta opcja jest szczególnie niebezpieczna o tyle, że atakujący widzi wiadomości w skrzynce wiadomości wysłanych, co ułatwia naśladowanie stylu komunikacji pracownika.

Techniki ataku BEC

Ataki BEC ewoluują także z technologicznego punktu widzenia. O ile w 2013 roku używane były przechwycone konta poczty e-mail dyrektorów generalnych lub finansowych, dziś w coraz większym stopniu atakujący pomyślnie naśladują inne osoby poprzez połączenie podstępu technologicznego, socjotechniki i nieuwagi ofiary. Poniżej opisujemy podstawowe sztuczki techniczne, które stosują:

  • Oszukanie adresu e-mail nadawcy. Osoba atakująca oszukuje nagłówki pocztowe. W efekcie na przykład wiadomość wysłana z adresu phisher@email.com wygląda, jakby została wysłana ze skrzynki odbiorczej ofiary, o nazwie CEO@yourcompany.com. Metoda ta ma wiele wariantów, a różne nagłówki mogą zostać zmienione na wiele sposobów. Największe zagrożenie, jakie stwarza ta metoda ataku, polega na tym, że nie tylko atakujący mogą manipulować nagłówkami wiadomości — oryginalni nadawcy również mogą to robić z wielu powodów.
  • Domeny, które wyglądają podobnie. Cyberprzestępca rejestruje nazwę domeny, która wyglądem bardzo przypomina tę ofiary. Na przykład podaje com zamiast example.com. Następnie wiadomości są wysyłane z adresu CEO@examp1e.com w nadziei, że nieostrożny pracownik nie dostrzeże fałszywej domeny. Cała trudność polega tu na tym, że atakujący naprawdę posiada fałszywą domenę, więc informacja o nadawcy przejdzie wszystkie tradycyjne kontrole bezpieczeństwa.
  • Sztuczki wymuszane na klientach pocztowych (mailsploit). Nowe luki są wykrywane w klientach poczty e-mail bez ustanku. Czasami mogą one zostać użyte do zmuszenia klienta, aby wyświetlał fałszywą nazwę lub adres nadawcy. Na szczęście takie luki dość szybko identyfikują firmy z obszaru bezpieczeństwa informacji, co umożliwia rozwiązaniom bezpieczeństwa śledzenie ich użycia i zapobieganie atakom.
  • Przechwycenie poczty e-mail. Atakujący zdobywają pełen dostęp do konta pocztowego, po czym mogą wysyłać wiadomości, które są niemal nie do odróżnienia od tych prawdziwych. Jedyny sposób na automatyczną ochronę przed tego rodzaju atakiem jest używanie narzędzi uczenia maszynowego w celu określenia autora wiadomości e-mail.

Jakie spotkaliśmy przypadki

Szanujemy poufność naszych klientów, więc poniższe przykłady nie są prawdziwe, lecz mają za zadanie zilustrować powszechne możliwości ataku BEC.

Fałszywa nazwa

Atakujący próbuje nawiązać kontakt z potencjalną ofiarą, podszywając się pod jej szefa. Aby odbiorca nie spróbował skontaktować się z prawdziwym pracownikiem, oszust podkreśla, że żądanie jest pilne, a szef jest aktualnie nieodstępny poprzez inne kanały komunikacji:

Po bliższym przyjrzeniu się tej wiadomości można zauważyć, imię nadawcy (Bob) nie pasuje do prawdziwego adresu e-mail (not_bob@gmail.com). W tym przypadku atakujący zmienił imię wyświetlane w otwartej wiadomości. Ten rodzaj ataku jest szczególnie skuteczny na urządzeniach mobilnych, które domyślnie wyświetlają tylko imię nadawcy, a nie jej adres.

Fałszywy adres

Cyberprzestępca szuka pracownika w dziale księgowości, który ma możliwość zmiany danych bankowych:

Tutaj nagłówek wiadomości został zmieniony tak, aby klient wyświetlał imię i adres e-mail pracownika, ale zdefiniowany został także adres e-mail będący adresem zwrotnym. W efekcie odpowiedzi na tę wiadomość są wysyłane na adres not_bob@gmail.com. Wiele klientów ukrywa domyślnie pole odpowiedzi, zatem wiadomość wydaje się oryginalna, nawet po bliższym przyjrzeniu się. Teoretycznie atak używający takiej wiadomości można zatrzymać poprzez poprawną konfigurację parametrów SPF, DKIM i DMARC na firmowym serwerze poczty.

Oszustwo obejmujące inną osobę

Atakujący przedstawia się jako menedżer i informuje pracownika, że wkrótce skontaktuje się z nim prawnik w sprawie firmowej:

W tej sytuacji pole nadawcy zawiera nie tylko imię, lecz także oszukańczy adres e-mail. Nie jest to najnowsza technika, jednak jej ofiarą nadal pada wiele osób, zwłaszcza jeśli prawdziwy adres nie jest wyświetlany na ekranie odbiorcy (na przykład dlatego, że jest zbyt długi).

Podobna domena

Inny cyberprzestępca próbuje rozpocząć wymianę wiadomości e-mail z pracownikiem firmy:

W tym przykładzie wykorzystywana jest metoda podobnej domeny, o której wspomnieliśmy wyżej. Oszust najpierw rejestruje nazwę domeny podobną do zaufanej (w tym przypadku examp1e.com zamiast example.com), a następnie ma nadzieję, że odbiorca nie zauważy różnicy.

Ataki BEC na osoby na wyższym stanowisku

Według najnowszych raportów ataki BEC powodują znaczące szkody w firmach różnych rozmiarów i z różnych obszarów. Oto kilka najciekawszych:

  • Cyberprzestępca utworzył domenę naśladującą taką, która należy do producenta sprzętu elektronicznego z Tajwanu. Następnie użył jej do wysłania faktur do dużych firm (w tym Facebook i Google) na przestrzeni dwóch lat, zarabiając na tym 120 mln dol.
  • Podszywając się pod firmę budowlaną, cyberprzestępcy nakłonili uczelnię Southern Oregon University do przesłania niemal 2 mln dol. na fałszywe konta.
  • Niektórzy oszuści wkroczyli w korespondencję odbywającą się między dwoma klubami piłkarskimi. W tym celu zarejestrowali domenę zawierającą nazwę jednego z nich, lecz inne rozszerzenie domeny. Dwa kluby, Boca Juniors i Paris Saint-Germain, omawiały transfer gracza oraz prowizję od umowy. W efekcie niemal 520 000 funtów trafiło na różne oszukańcze konta w Meksyku.
  • Europejski oddział firmy Toyota stracił ponad 37 mln dol. na rzecz cyberprzestępców po zrealizowaniu fałszywego polecenia przelewu bankowego, które pracownik omyłkowo uznał za prawdziwy.

Jak radzić sobie z atakami BEC

Cyberprzestępcy używają stosunkowo szerokiego wachlarza sztuczek technicznych i metod socjotechnicznych, aby zdobyć zaufanie i móc przeprowadzić oszustwo. Jednak stosując skuteczne środki zapobiegawcze można zminimalizować zagrożenie ze strony ataków BEC:

  • Skonfiguruj mechanizm SPF, używaj sygnatur DKIM i zaimplementuj politykę DMARC, aby zapewnić ochronę przed fałszywą korespondencją wewnętrzną. Teoretycznie sposoby te pozwalają również innym firmom na autoryzowanie wiadomości e-mail wysłanych w imieniu Twojej organizacji (zakładając oczywiście, że firmy te mają skonfigurowane takie technologie). Metoda ta pod pewnymi względami nie działa (np. brak możliwości zapobiegania oszustwom z wykorzystaniem osoby trzeciej lub rozpoznawania domen o podobnej nazwie), lecz im więcej firm będzie używać technologii SPF, DKIM i DMARC, tym mniejsze możliwości będą mieć cyberprzestępcy. Używanie tych technologii przyczynia się do pewnego rodzaju zbiorowej odporności przed manipulowaniem nagłówków w poczcie e-mail.
  • Regularnie organizuj szkolenia dla pracowników pod kątem rozpoznawania socjotechniki. Połączenie warsztatów i symulacji pozwala pracownikom zachować czujność i rozpoznawać ataki BEC, jeśli zdołają się one przedostać przez inne warstwy ochrony.
  • Używaj rozwiązań ochronnych z wyspecjalizowaną technologią chroniącą przed atakami BEC, aby zapewnić sobie ochronę przed wektorami ataków opisanymi z tym poście.

Rozwiązania marki Kaspersky z technologią filtrowania treści, która powstała w naszym laboratorium, identyfikuje wiele rodzajów ataków BEC, a nasi eksperci nieustannie tworzą technologie służące do jeszcze większej ochrony przed najbardziej zaawansowanymi i wyrafinowanymi oszustwami.

Porady