CZYM JEST ATAK BUSINESS E-MAIL COMPROMISE (BEC)?

Business E-mail Compromise (BEC, ataki BECowe) to wyrafinowane ataki socjotechniczne, w ukierunkowanym phishingu (spear phishing) wymierzone w pracownika firmy. Haker atakuje dwuetapowo. Najpierw włamuje się na e-mail pracownika “pośredniczącego”, często wykorzystując do tego phishing lub tworzy własny adres e-mail, podszywający się pod tę osobę, który do złudzenia przypomina jego prawdziwy. Pośrednikiem często jest VIP tj. członek zarządu, dyrektor finansowy, główna księgowa, partner biznesowy. Jego skrzynka zostanie wykorzystana do głównego ataku. Haker tworzy wiadomości e-mail tak, aby były wiarygodnie. W przypadku wcześniejszej kompromitacji skrzynki e-mail “pośrednika” ma dostęp do wszystkiego, co jest mu potrzebne, żeby przygotować skuteczny atak – wygląd i sposób komunikacji, poznaje bieżące konteksty wymiany korespondencji – może kontynuować trwający wątek, uwiarygadniając tym swoją prośbę lub może zacząć nowy temat w stylu “nadawcy”. Wszystko po to, by nakłonić pracowników do przelania środków na “nowe firmowe konto” bankowe, dostarczyć fałszywą fakturę lub wyciągnąć poufne informacje. Ta forma ataku jest zazwyczaj wymierzona w kadrę zarządzającą firmą, pracowników z działu HR finansowego. 

W atakach BEC główną rolę odgrywa socjotechnika, a stosowane sztuczki phishingowe są precyzyjne i nieprzypadkowe. Atak zazwyczaj poprzedza dokładny footprinting, czyli zebranie informacji o ofiarach. Następnie haker wykorzystuje zdobyte dane, by zyskać zaufanie pracownika. Korespondencja, którą prowadzi ze swoją ofiarą może trwać miesiącami albo zakończyć się na kilku wiadomościach.

NA PIERWSZEJ LINII OBRONY PRACOWNIK  

Ataki BEC są niebezpiecznie skuteczne, ponieważ bazują na zaufaniu, usypiając czujność ofiary. W wysyłanych wiadomościach cyberprzestępcy podszywają się pod znanego odbiorcy nadawcę. Przekonanie, że korespondencja odbywa się pomiędzy znajomymi, powoduje, że pracownik nie podejrzewa ataku. Podobnie jak w przypadku zwykłego phishingu, odgrywa on tutaj kluczową rolę w zabezpieczeniu danych Twojej firmy. Stworzenie najlepszych procedur bezpieczeństwa oraz kosztownych zabezpieczeń na niewiele się zda, gdy zawiedzie ludzki czynnik.  

Podstawowym narzędziem do walki z BEC jest znajomość aktualnych zagrożeń cybernetycznych i zdolność ich rozpoznawania. Dlatego tak istotna jest ciągła edukacja Twojego pracownika, dzięki której zwiększy się jego świadomość w tym zakresie. Tylko regularny trening i symulacje ataków doprowadzą do wypracowania bezpiecznych nawyków i umiejętności wychwycenia próby ataku na Twoją firmę. 

Jeśli chcesz, by Twoi pracownicy nauczyli się rozpoznawać ataki BEC i na czas podejmowali odpowiednie działania – skontaktuj się z naszym ekspertem i dowiedz się jak to zrobić, wykorzystując Praktyczny Trening Antyphishingowy. 

ATAKI BEC NAJBARDZIEJ KOSZTOWNĄ FORMĄ PHISHINGU 

Najnowszy raport FBI pokazuje, jak ogromne szkody finansowe w firmach powodują cyberprzestępstwa. Największym zagrożeniem dla przedsiębiorstw jest phishing – liczba wyłudzeń w minionym roku wzrosła o 34 procent w porównaniu do roku 2020. Drugim pod względem ilości zgłoszeń, jednak powodującym największe spustoszenie w budżecie jest BEC, który w 2021 roku doprowadził przedsiębiorstwa do utraty prawie 2,4 miliarda dolarów. Skala problemu może być jednak znacznie większa, bo nie wszystkie incydenty są zgłaszane organom ścigania. 

Ataki BEC powodują spore straty w firmach różnych rozmiarów i działających w różnych obszarach. Oznacza to, że narażone są wszystkie przedsiębiorstwa i nikt nie może czuć się w pełni bezpieczny. By zobrazować skalę problemu, wskażemy kilka przykładowych incydentów ze świata i z Polski. 

• Cyberprzestępcy podszywający się pod firmę budowlaną w Stanach Zjednoczonych nakłonili jedną z tamtejszych uczelni do przelania blisko 2 milionów dolarów na fałszywe konta. 
• Europejski oddział znanej, japońskiej firmy samochodowej stracił ponad 37 milionów dolarów po tym, jak pracownik zrealizował fałszywe zlecenie przelewu bankowego, które omyłkowo uznał za prawdziwy. 
• Haker użył utworzonej przez siebie domeny, podszywającej się pod producenta sprzętu elektronicznego z Tajwanu do wysłania faktur do dużych firm. W ciągu dwóch lat w wyniku ataków BEC ukradł 120 milionów dolarów. 

• Znana polska firma handlowa zajmująca się obrotem bronią i sprzętem specjalnym straciła około 4 milionów złotych, po tym jak cyberprzestępcy wysłali wiadomość e-mail o zmianie rachunku, na który miał zostać wysłany przelew. Pracownik nie zorientował się, że to atak BEC. 
  
• Polskie linie lotnicze straciły 2,6 miliona złotych po tym, jak pracownik przelał pieniądze na konto tzw. słupa. 
• Przedstawiciel jednego z zarządu dróg wojewódzkich przelał 3,7 miliona złotych cyberoszustom, którzy podszyli się pod wykonawcę i w wiadomości o zmianie numeru rachunku umieścili pieczątkę. To wystarczyło, by pracownik uwierzył i zasilił potężną kwotą niewłaściwe konto. 

JAK PRZEBIEGA ATAK BEC? 

By przeprowadzić atak BEC, cyberprzestępcy najpierw muszą przejąć skrzynkę e-mail dostawcy (fabryki, producenta), który współpracuje z danym przedsiębiorstwem. Wbrew pozorom, wcale nie jest to trudne zadanie. Jesteśmy niemal pewni, że są wśród Twoich pracowników tacy, którzy nadal używają do firmowych kont takich samych haseł jak w innych serwisach. Skoro Twoi pracownicy tak robią, to pracownicy dostawcy również. W porządku, ale skąd haker zdobędzie hasła? Odpowiedź jest prosta – dane z różnych serwisów stale wyciekają i dostęp do nich może mieć każdy. Cyberprzestępcy na bieżąco monitorują wycieki w celu pozyskania danych uwierzytelniających swoich ofiar. Sprawdzenie czy login i hasło z wycieków pasują do konta w firmowej domenie to żadne wyzwanie. 

Konta e-mail pracowników biorących udział w Praktycznym Treningu Antyphishingowym są regularnie weryfikowane pod kątem występowania w publicznie dostępnych wyciekach. Informacja o tym dociera do Ciebie na bieżąco, co pozwala na szybką reakcję i zablokowanie działań cyberprzestępców. 

Innym sposobem na to, by zdobyć dane logowania jest… phishing. Cyberprzestępcy bez problemu znajdą dane na temat pracowników dostawcy, chociażby na Facebooku czy LinkedIn’ie. Wiele osób chętnie dzieli się szczegółami ze swojego życia w mediach społecznościowych. Publikowanie informacji na temat miejsca pracy, ulubionych restauracji, podróży umożliwia cyberprzestępcom przygotowanie precyzyjnego ataku. 

Haker po dostaniu się na skrzynkę pracownika dostawcy szuka w niej wiadomości dotyczących zamówień lub płatności. Zwraca uwagę na wygląd dokumentów, szatę graficzną, czcionkę, logotyp i na ich postawie przygotowuje wiadomość do któregoś z klientów. Pod pretekstem np. zmiany numeru konta, uregulowania niezapłaconej faktury, wystawienia faktury korygującej, prosi któregoś z klientów dostawcy o wpłatę na inne konto. Wiadomość jest wiarygodna, ponieważ: 

• pochodzi z prawidłowego (lub bardzo zbliżonego) adresu e-mail,
• zgadza się język, stopka i podpis, a e-mail przyszedł z prawidłowego serwera,
• prowadzona korespondencja jest kontynuacją rozpoczętego o wiele wcześniej wątku w poczcie elektronicznej, 
• sprawa dotyczy już realizowanych kontraktów i faktycznych dostaw.  

Jeśli więc ofiara uwierzy, a istnieje duża szansa na to, że tak się stanie, firma traci pieniądze. Proceder może trwać nawet kilka miesięcy, bo nie zawsze pracownicy od razu orientują się, że zasilają konto cyberprzestępcy, a hakerzy mogą postępować w ten sposób również z innymi klientami. 

PRZYKŁADOWE SCENARIUSZE ATAKÓW BEC

Tak jak w przypadku ataków socjotechnicznych, cyberprzestępcy wciąż wymyślają nowe scenariusze manipulacji, dzięki którym zdobędą pieniądze lub poufne dane. Najbardziej popularne ataki BEC sprowadzają się jednak do następujących sytuacji: 

• Włamanie na konto i przechwycenie poczty e-mail. Po uzyskaniu dostępu do poczty pracownika (zwykle z działu finansowego), haker w jego imieniu wysyła prośby do klientów o zmianę numeru rachunku w celu wyłudzenia przelewu pieniędzy na nowe konto (własne lub „słupa”). 
• Polecenie od prezesa lub CEO, dyrektora bądź innej osoby na wysokim stanowisku, która zarządza firmą. Atakujący podaje się za taką osobę i w korespondencji e-mailowej stara się nakłonić pracownika do wykonania przelewu lub przesłania poufnych danych (np. służących do logowania do firmowego serwera). 
• Podszywanie się pod adwokata. Haker podając się za prawnika, wysyła wiadomość e-mail do pracownika zajmującego wysokie stanowisko (często do dyrektora generalnego) i prosi o przelew lub podanie danych wrażliwych.  
• Rzekome zaległości. Atakujący włamuje się na konto e-mail firmy i szuka korespondencji z dostawcą, z którym współpracuje dane przedsiębiorstwo. Następnie podszywa się pod tego dostawcę i żąda uregulowania zaległej płatności na nowe konto.  

Podsumowując, BEC jako forma ukierunkowanego phishingu to ogromne zagrożenie dla Twojej firmy. Nie ma znaczenia, jak dużym przedsiębiorstwem zarządzasz i w jakiej branży działasz. Twoi pracownicy podejmują ostateczną decyzję, która może ochronić firmę przed poważnymi stratami, a nawet bankructwem.

Budowanie świadomości dotyczącej cyberzagrożeń to proces, który wymaga czasu i treningu. Ty i Twoi współpracownicy z kadry zarządzającej tworzycie w firmie priorytety i plany, które są następnie wdrażane w firmie, dlatego to Ty masz możliwość zainicjowania i rozwijania procesu podnoszenia security awareness pracowników.
Zrób to efektywnie – uruchom w firmie Praktyczny Trening Antyphishingowy i wspólnie z pracownikami stawiajcie opór hakerom.