Ataki typu BEC to dla hakerów bardzo lukratywny interes. Dlaczego tak trudno jest im zapobiegać?

Przez lata jednym z najskuteczniejszych sposobów osiągania zysków były dla hakerów ataki ransomware, które polegają na zablokowaniu użytkownikowi dostępu do plików i danych przy użyciu szyfrowania, a następnie sprzedaniu mu klucza deszyfrującego w zamian za niemożliwy do wyśledzenia okup w walucie bitcoin. Ostatnio – zwłaszcza w sektorze korporacyjnym – coraz popularniejszy staje się jednak inny dochodowy rodzaj ataków. Wykorzystanie fałszywych biznesowych wiadomości e-mail (ang. Business Email Compromise – BEC) otwiera przed cyberprzestępcami szerokie możliwości czerpania nielegalnych zysków, a duże zaawansowanie i natężenie tego rodzaju ataków sprawia, że bardzo trudno jest się przed nimi bronić.

Rosnąca liczba ataków typu BEC

Dwa lata temu średnia wysokość strat powodowanych przez hakerów wyniosła 140 tys. USD, ale od tego czasu cyberprzestępcy wykorzystujący mechanizmy BEC znacznie zwiększyli swoje potencjalne zyski. W lipcu 2018 r. Centrum Zgłaszania Przestępczości Internetowej FBI (FBI IC3) poinformowało, że w okresie od grudnia 2016 r. do maja 2018 r. straty wynikające z ataków typu BEC wzrosły o 136 procent. Oznacza to, że hakerzy uzyskali kosztem przedsiębiorstw łącznie 12,5 mld USD, przy czym suma ta obejmuje zarówno ataki na skalę międzynarodową, jak i ataki w obrębie tego samego państwa. Kwota strat – a tym samym zysków po stronie hakerów – jest o 3 mld wyższa od kwoty prognozowanej przez specjalistów z firmy Trend Micro w raporcie zatytułowanym Paradigm Shifts: Security Predictions for 2018.

Czynniki sprzyjające atakom typu BEC i utrudniające obronę przed nimi

  • Zaawansowane wykorzystanie socjotechniki

W przypadku ataków typu BEC hakerzy nie ograniczają się do stworzenia uniwersalnej, jednakowej dla wszystkich wiadomości e-mail w nadziei, że zdołają w ten sposób oszukać potencjalną ofiarę. Zamiast tego starannie przygotowują grunt metodami socjotechnicznymi, dzięki czemu mogą wybrać wariant ataku dający największą pewność, że odbiorca otworzy spreparowaną wiadomość i odpowie na nią.

  • Spreparowana wiadomość e-mail

Dzięki zastosowaniu skutecznych metod socjotechnicznych cyberprzestępcy mogą tworzyć wiadomości do złudzenia przypominające autentyczną korespondencję, które zawierają imię i nazwisko adresata, a niekiedy nawet wyglądają na wysłane przez innego pracownika firmy. Na przykład księgowy może otrzymać fałszywą wiadomość od dyrektora firmy z prośbą o dokonanie przelewu, zawierającą sfałszowaną wersję adresu e-mail szefa, a nawet jego podpis e-mail. Im bardziej autentycznie wygląda spreparowana wiadomość, tym większe jest prawdopodobieństwo, że księgowy przeleje żądane środki.

  • Brak szkodliwych odsyłaczy i załączników

O ile działania podejmowane przez hakerów „za kulisami” są bardzo pracochłonne i wyrafinowane, o tyle sposób przeprowadzenia samego ataku jest zaskakująco prosty. Podstawą każdego ataku typu BEC jest przekonująca wiadomość e-mail, która zawiera skuteczny przekaz, natomiast nie zawiera typowych elementów traktowanych jako sygnały ostrzegawcze. Specjaliści z firmy Trend Micro podkreślają, że „w przypadku tego typu oszustw nie stosuje się żadnych szkodliwych odsyłaczy ani załączników, co pozwala uniknąć wykrycia przez tradycyjne rozwiązania”.

  • Wywoływanie wrażenia pilnej potrzeby

Aby zwiększyć szanse powodzenia ataku, obok zastosowania socjotechniki — polegającego na umieszczeniu w wiadomości prawdziwych nazwisk, adresów i innych szczegółów mających na celu uśpienie czujności odbiorcy — hakerzy starają się wywołać wrażenie, że sprawa wymaga natychmiastowego działania. Wiele wiadomości przeanalizowanych przez specjalistów z firmy Trend Micro zawierało mocne sformułowania, takie jak „pilne”, „płatność”, „przelew” czy „prośba”, a także inne słowa wzmacniające ogólny przekaz. Jak wyjaśnia firma Trend Micro, „wywołanie wrażenia pilnej potrzeby, wezwanie do działania bądź wskazanie implikacji finansowych w ramach oszustw typu BEC pomaga wciągnąć ofiarę w pułapkę. Cyberprzestępca może na przykład skontaktować się z pracownikami lub kierownictwem przedsiębiorstwa, podając się za zewnętrznego dostawcę, przedstawiciela kancelarii prawniczej, a nawet dyrektora generalnego, aby zmanipulować swoje ofiary i skłonić je do dokonania przelewu w tajemnicy przed innymi”.

Dalsze korzystanie z przejętego konta

Cykl ataku BEC nie musi niestety kończyć się w momencie dokonania przez ofiarę przelewu na rachunek oszusta. Raz przejęte konto może zostać wykorzystane do przeprowadzania dalszych ataków tego typu poprzez wysyłanie wiadomości służących do wyłudzania informacji bądź innych fałszywych wiadomości biznesowych do osób z książki adresowej ofiary.

Zgodnie z raportem ośrodka FBI IC3 hakerzy wykorzystują również ofiary w roli tzw. „słupów”. Za pośrednictwem osób zwerbowanych drogą szantażu przestępcy otwierają nowe konta, które są następnie wykorzystywane do przeprowadzania ataków typu BEC. Nawet jeśli konta te pozostają otwarte jedynie przez krótki czas, stwarzają przestępcom dodatkowe możliwości podejmowania niebezpiecznych działań.

Zdaniem specjalistów ds. zabezpieczeń w najbliższej przyszłości nie należy spodziewać się spadku liczby ataków typu BEC. Oznacza to, że przedsiębiorstwa chcące zapobiegać tego rodzaju oszustwom muszą zarówno uświadamiać użytkowników, jak stosować zaawansowane rozwiązania z zakresu bezpieczeństwa. W tej sytuacji korzystne może być zastosowanie technologii firmy Trend Micro, która wykorzystuje zaawansowane strategie — w tym mechanizmy sztucznej inteligencji pozwalające wykrywać osoby podszywające się pod nadawców wiadomości e-mail oraz funkcje uczenia maszynowego — do podnoszenia ogólnego poziomu bezpieczeństwa.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.