Ataki BEC (Business E-mail Compromise) są coraz częściej stosowane przez hakerów, ponieważ wymagają małego nakładu pracy i środków technicznych. Często opierają się na wysyłce mailowej fałszywych dokumentów i zastosowaniu prostego mechanizmu socjotechniki, aby wymóc na pracowniku atakowanej instytucji dokonanie przelewu lub przesłanie wrażliwych danych. Mechanizm niezwykle prosty dla hakerów, a wyjątkowo szkodliwy dla każdego przedsiębiorcy. Nie ma się bowiem co oszukiwać, że to zagrożenie nie dotyczy naszej firmy. Jak więc bronić się przed atakami poprzez pocztę elektroniczną?
Zjawisko BEC jest monitorowane przez FBI – w czerwcu 2018 roku opublikowano raport[1], w którym wyceniono straty przedsiębiorstw wynikające z ataków Business Email Compromise na 12,5 miliarda dolarów w latach 2013 – 2018. Jest to wzrost aż o 136,4% w porównaniu z danymi z 2017 roku, kiedy wynosiły one 5,3 mld dolarów. Jednak co zaskakujące, pomimo iż 43%[2] przedsiębiorstw w Europie miało do czynienia z atakiem typu BPC (Business Proccess Compromise – manipulacja procesami i systemami firmowymi), który najczęściej występuje właśnie w formie ataku BEC, to w dalszym ciągu połowa zespołów kierowniczych w firmach nawet nie wie o istnieniu tych zagrożeń.
Jak więc firmy mają się bronić się przed czymś, o czym nie wiedzą?
Pierwszy krok do pokonania cyberprzestępcy to świadomość rodzajów ataków oraz zagrożeń jakie niosą ze sobą i ich konsekwencji dla firmy. FBI wyodrębniło 5 głównych typów ataków BEC, o których możecie przeczytać w tym wpisie.
Następnym krokiem jest inwestycja w odpowiednie narzędzia, które pomogą nam w walce z zagrożeniami.
Email security i sandbox – sposoby na hakerów
Wykrycie ataku jest często trudne. Maile i dokumenty są przygotowane przez profesjonalistów, a techniki manipulacji coraz bardziej wyrafinowane. Istnieją jednak efektywne narzędzia do minimalizacji zagrożeń. Przykładem są rozwiązania typu sandbox powiązane z odpowiednio skonfigurowaną bramą poczty elektronicznej, które skutecznie wykrywają ataki BEC. Rozwiązania takie są implementowane przez Trend Micro w produktach służących do ochrony poczty elektronicznej. Należą do nich między innymi Deep Discovery Email Inspector, Cloud App Security (CAS) dla Microsoft Office 365 oraz ScanMail Suite for Microsoft Exchange (SMEX). Narzędzia te wykorzystują uczenie maszynowe i sztuczną inteligencję wzmacniając ochronę przed atakami BEC, EAC (Email Attack Compromise) czy phishingiem. Nowe mechanizmy ochrony łączą w sobie wiedzę ekspertów z laboratoriów Smart Protection Network z zaawansowanymi algorytmami matematycznymi, dzięki czemu rośnie szansa identyfikacji ataku na podstawie charakterystyki i „zachowania” maila.
Jak to działa w praktyce? Sandbox, czyli dodatkowa warstwa ochrony serwera pocztowego to odizolowane środowisko, w którym detonowana jest próbka – na przykład podejrzany załącznik z maila. Jeżeli system wykryje podejrzaną wiadomość, analizuje jej zawartość, w szczególności zachowanie, otwierane połączenia i podejmuje decyzję czy analizowana treść stanowi zagrożenie, czy też jest nieszkodliwa.
Ciekawostką jest mechanizm Writing Style DNA (na razie dostępny tylko dla użytkowników anglojęzycznych) wykorzystujący sztuczną inteligencję celem wykrycia próby podszycia się pod nadawcę. Bazując na wcześniejszych mailach mechanizm uczy się rozpoznawać styl pisania użytkownika. Kiedy email jest podejrzany o spoofing (podszywanie się pod konkretnego nadawcę), styl pisania jest porównywany z wcześniejszą korespondencją, co w razie wątpliwości może skutkować ostrzeżeniem dla odbiorcy emaila i działu IT.
Pracownik to najsłabsze ogniwo
Oprócz instalacji odpowiednich narzędzi do obrony przed hakerami, firmy powinny skupić się także na edukacji pracowników. To w końcu oni są pierwszymi odbiorcami potencjalne zainfekowanych wiadomości. Powinni więc być świadomi możliwych ataków, ale także umieć rozpoznać podejrzane maile, aby nie kliknąć lub nie otworzyć zarażonego załącznika i nie narazić firmy na straty.
Warto nie tylko organizować szkolenia, ale także systematycznie przeprowadzać symulacje prawdziwego ataku. Takie działania w znaczący sposób podnoszą świadomość pracowników o czyhających zagrożeniach. Na rynku dostępne jest darmowych narzędzie dla firm – Phish Insight, które pozwala przeprowadzić symulowany atak. W sztucznie wykreowanym ataku pracownik jest zachęcany do wykonywania działań, które w realnym świecie doprowadziłyby do przełamania zabezpieczeń w firmie lub wyłudzenia danych. Na podstawie wyników pracownik uczy się w bezpieczny sposób rozpoznawać zagrożenia i reagować na nie. Pracodawca z kolei otrzymuje możliwość monitorowania zachowań i wyników pracowników, co daje mu możliwość planowania kolejnych działań w obszarze bezpieczeństwa i edukacji.
1 haker = 100 milionów dolarów strat dla Facebooka i Google’a
Ataki BEC to nie mrzonka i narażeni na nie są wszystkie przedsiębiorstwa, nawet najwięksi giganci rynkowi.
20 marca 2019 roku obywatel Litwy, Evaldas Rimasauskas, przyznał się do wyłudzenia ponad 100 milionów dolarów od Google’a i Facebooka za pomocą ataków BEC. Razem ze wspólnikami podszywał się pod firmę Quanta Computer – dostawcy podzespołów z Tajwanu, współpracującym z amerykańskimi gigantami IT. Rimasauskas zarejestrował na Łotwie spółkę o tej nazwie, a następnie wysyłał fałszywe faktury, kontrakty i wezwania do zapłaty opiewające na miliony dolarów.
Dokumenty nie wzbudzały podejrzeń, a Google i Facebook przesyłały pieniądze na konta kontrolowane przez Litwina w latach 2013 – 2014. Następnie dokonywany był proceder prania pieniędzy poprzez banki na Łotwie, Cyprze, Słowacji, Litwie, Węgrzech oraz Hong Kongu.
Rimasauskas zgodził się na zwrot 49 milionów dolarów i aktualnie oczekuje na wyrok, który ma zapaść w czerwcu.
Hakerzy nie oszczędzają nikogo. Warto więc zainwestować w dodatkowe systemy ochronne serwera pocztowego typu sandbox i zminimalizować potencjalne ryzyko strat w firmie.
Jeżeli szukasz partnera, który pomoże wdrożyć odpowiednie rozwiązanie do obrony przed cyberprzestępcami w firmie napisz do nas.
[1] Raport FBI https://www.ic3.gov/media/2018/180712.aspx
[2] Badanie Trend Micro z 2018 roku. W internetowej ankiecie wzięło udział 1125 decydentów z działów informatycznych, którzy odpowiadają w swoich firmach za cyberbezpieczeństwo i pracują w Wielkiej Brytanii, Stanach Zjednoczonych, Niemczech, Hiszpanii, Włoszech, Szwecji, Finlandii, Francji, Holandii, Polsce, Belgii i Czechach.