Når det kommer til cyberkriminalitet og sikkerhedstrusler, er Vendor Email Compromise (VEC) den store far til e-mail-svindel. Det er den type angreb, de fleste organisationer er de mindst forberedte på, og en, de er mest tilbøjelige til at blive ramt af. I løbet af de sidste 3 år har VEC kostet organisationer over 26 milliarder dollars. Og det kan være chokerende nemt at udføre.

I lighed med VEC involverer BEC-angreb angriberen, der udgiver sig for at være en højere op-leder i organisationen, og sender e-mails til en nyansat medarbejder, ofte i økonomiafdelingen. De anmoder om pengeoverførsler eller betalinger af falske fakturaer, som, hvis de udføres godt nok, kan overbevise en mindre erfaren medarbejder om at indlede transaktionen.

Du kan se, hvorfor BEC er sådan et stort problem blandt større organisationer. Det er svært at overvåge alle dine medarbejderes aktiviteter, og de mindre erfarne er mere tilbøjelige til at falde for en e-mail, der ser ud til at komme fra deres chef eller CFO. Da organisationer spurgte os, hvad der er det farligste cyberangreb, de havde brug for at holde øje med, var vores svar altid BEC.

Det vil sige, indtil Silent Starling.

Organiseret cyberkriminalitet Syndicate

Den såkaldte Silent Starling er en gruppe nigerianske cyberkriminelle med en historie inden for svindel og svig, der går så langt tilbage som 2015. I juli 2019 samarbejdede de med en større organisation, der udgav sig for at være administrerende direktør for en af deres forretningspartnere. E-mailen bad om en pludselig ændring i sidste øjeblik i bankoplysninger og anmodede om en presserende bankoverførsel.

Heldigvis opdagede de, at e-mailen var falsk, før nogen transaktion fandt sted, men i den efterfølgende undersøgelse kom de foruroligende detaljer om gruppens metoder frem i lyset.

I det, der nu kaldes VEC (Vendor Email Compromise), starter angriberne et betydeligt mere omfattende og organiseret angreb, end det typisk sker i konventionel BEC. Angrebet har 3 separate, indviklet planlagt-out faser, der synes at kræve en meget større indsats end hvad de fleste BEC angreb normalt kræver. Sådan fungerer det.

VEC: Sådan bedrager du en virksomhed i 3 trin

Trin 1: Indbrud

Angriberne får først adgang til e-mail-kontoen for en eller flere personer i organisationen. Dette er en omhyggeligt orkestreret proces: de finder ud af, hvilke virksomheder der mangler DMARC-godkendte domæner. Disse er nemme mål at spoof. Angribere får adgang ved at sende medarbejdere en phishing-e-mail, der ligner en loginside og stjæler deres loginoplysninger. Nu har de fuld adgang til organisationens indre arbejde.

Trin 2: Indsamling af oplysninger

Dette andet skridt er som en overvågningsfase. De kriminelle kan nu læse fortrolige e-mails, og bruge dette til at holde øje med medarbejdere, der er involveret i behandling af betalinger og transaktioner. Hackerne identificerer målorganisationens største forretningspartnere og leverandører. De indsamler oplysninger om organisationens indre arbejde – ting som faktureringspraksis, betalingsbetingelser og endda, hvordan officielle dokumenter og fakturaer ser ud.

Trin 3: Handling

Med al denne intelligens indsamlet, skaber svindlerne en ekstremt realistisk e-mail og venter på den rigtige mulighed for at sende den (normalt lige før en transaktion er ved at finde sted). E-mailen er rettet mod den rigtige person på det rigtige tidspunkt og kommer gennem en ægte virksomhedskonto, hvilket gør det næsten umuligt at identificere.

Ved perfekt at koordinere disse 3 trin var Silent Starling i stand til at kompromittere deres målorganisations sikkerhedssystemer og formåede næsten at stjæle titusinder af dollars. De var blandt de første til at prøve et så omfattende cyberangreb, og desværre vil de bestemt ikke være de sidste.

Jeg ønsker ikke at være et offer for VEC. Hvad skal jeg gøre?

Det virkelig skræmmende ved VEC er, at selvom du har formået at opdage det, før svindlere kunne stjæle nogen penge, betyder det ikke, at der ikke er sket nogen skade. Angriberne formåede stadig at få fuld adgang til dine e-mail-konti og intern kommunikation og var i stand til at få en detaljeret forståelse af, hvordan din virksomheds økonomi, faktureringssystemer og andre interne processer fungerer. Oplysninger, især følsomme oplysninger som denne, efterlader din organisation helt udsat, og angriberen kan altid forsøge en anden fidus.

Så hvad kan du gøre ved det? Hvordan skal du forhindre et VEC-angreb i at ske for dig?

1. Beskyt dine e-mail-kanaler

En af de mest effektive måder at stoppe e-mail-svindel på er ikke engang at lade angriberne begynde trin 1 i VEC-processen. Du kan forhindre cyberkriminelle i at få indledende adgang ved blot at blokere de phishing-e-mails, de bruger til at stjæle dine loginoplysninger.

Med PowerDMARC-platformen kan du bruge DMARC-godkendelse til at forhindre angribere i at udgive sig for at være dit brand og sende phishing-e-mails til dine egne medarbejdere eller forretningspartnere. Det viser dig alt, hvad der foregår i dine e-mail-kanaler, og advarer dig øjeblikkeligt, når noget går galt.

2. Uddan dine medarbejdere

En af de største fejl endnu større organisationer gør, er ikke at investere lidt mere tid og kræfter på at uddanne deres arbejdsstyrke med en baggrundsviden om fælles online-svindel, hvordan de arbejder, og hvad man skal kigge efter.

Det kan være meget svært at se forskel på en rigtig e-mail og en veludformet falsk, men der er ofte mange kontrollampe tegn på, at selv en person, der ikke er højt uddannet i cybersikkerhed kunne identificere.

3. Etablere politikker for erhvervslivet via e-mail

Mange virksomheder tager bare e-mail for givet uden virkelig at tænke på de iboende risici i en åben, uændret kommunikationskanal. I stedet for at stole implicit på hver korrespondance, skal du handle ud fra den antagelse, at personen i den anden ende ikke er den, de hævder at være.

Hvis du har brug for at gennemføre en transaktion eller dele fortrolige oplysninger med dem, kan du bruge en sekundær bekræftelsesproces. Dette kan være alt fra at ringe til partneren for at bekræfte eller få en anden person til at godkende transaktionen.

Angribere finder altid nye måder at kompromittere virksomhedens e-mail-kanaler på. Du har ikke råd til at være uforberedt.