Når det gjelder cyberkriminalitet og sikkerhetstrusler, er Vendor Email Compromise (VEC) den store pappaen for e -postsvindel. Det er den typen angrep de fleste organisasjoner er minst forberedt på, og et de mest sannsynlig vil bli rammet av. I løpet av de siste 3 årene har VEC kostet organisasjoner over 26 milliarder dollar . Og det kan være sjokkerende enkelt å utføre.

I likhet med VEC innebærer BEC-angrep at angriperen utgir seg for en høyere leder i organisasjonen, og sender e-post til en nyansatt ansatt, ofte i finansavdelingen. De ber om pengeoverføringer eller betalinger av falske fakturaer, som hvis de utføres godt nok, kan overbevise en mindre erfaren ansatt om å starte transaksjonen.

Du kan se hvorfor BEC er et så stort problem blant store organisasjoner . Det er vanskelig å overvåke aktivitetene til alle dine ansatte, og de mindre erfarne er mer utsatt for å falle for en e -post som ser ut til å komme fra sjefen eller finansdirektøren. Når organisasjoner spurte oss hva som er den farligste cyberangrepet de trenger å passe på, var svaret vårt alltid BEC.

Det vil si til Silent Starling.

Organisert nettkriminalitetssyndikat

Den såkalte Silent Starling er en gruppe nigerianske cyberkriminelle med en historie innen svindel og svindel som går så langt tilbake som 2015. I juli 2019 engasjerte de seg med en stor organisasjon, som utga seg som administrerende direktør i en av deres forretningspartnere. E -posten ba om en plutselig endring i bankinformasjon i siste øyeblikk, og ba om en presserende overføring.

Heldigvis oppdaget de at e -posten var falsk før noen transaksjon skjedde, men i den påfølgende undersøkelsen kom de urovekkende detaljene om gruppens metoder frem.

I det som nå kalles Vendor Email Compromise (VEC), starter angriperne et betydelig mer forseggjort og organisert angrep enn det som vanligvis skjer i konvensjonell BEC. Angrepet har 3 separate, intrikat planlagte faser som ser ut til å kreve mye mer innsats enn det de fleste BEC-angrep vanligvis krever. Slik fungerer det.

VEC: Slik svindler du et selskap i 3 trinn

Trinn 1: Bryter inn

Angriperne får først tilgang til e -postkontoen til en eller flere personer i organisasjonen. Dette er en nøye orkestrert prosess: de finner ut hvilke selskaper som mangler DMARC-godkjente domener. Dette er enkle mål å forfalske. Angripere får tilgang ved å sende ansatte en phishing -e -post som ser ut som en påloggingsside og stjele påloggingsinformasjonen deres. Nå har de fullstendig tilgang til organisasjonens indre virkemåte.

Trinn 2: Samle informasjon

Dette andre trinnet er som en utstansingsfase. Kriminelle kan nå lese konfidensielle e -poster, og bruke denne til å holde et øye med ansatte som er involvert i behandling av betalinger og transaksjoner. Angriperne identifiserer målorganisasjonens største forretningspartnere og leverandører. De samler informasjon om organisasjonens indre virkemåte - ting som faktureringspraksis, betalingsvilkår og til og med hvordan offisielle dokumenter og fakturaer ser ut.

Trinn 3: Ta handling

Med all denne intelligensen samlet, lager svindlerne en ekstremt realistisk e -post og venter på den rette muligheten til å sende den (vanligvis like før en transaksjon er i ferd med å finne sted). E -posten er rettet mot rett person til rett tid, og kommer gjennom en ekte firmakonto, noe som gjør det nesten umulig å identifisere.

Ved å perfekt koordinere disse tre trinnene, kunne Silent Starling gå på kompromiss med målorganisasjonens sikkerhetssystemer og klarte nesten å stjele titusenvis av dollar. De var blant de første som prøvde en så forseggjort cyberangrep, og dessverre vil de absolutt ikke være de siste.

Jeg vil ikke være et offer for VEC. Hva gjør jeg?

Det virkelig skremmende med VEC er at selv om du har klart å oppdage det før svindlerne kunne stjele penger, betyr det ikke at det ikke er gjort noen skade. Angriperne klarte fremdeles å få full tilgang til e -postkontoer og intern kommunikasjon, og klarte å få en detaljert forståelse av hvordan selskapets økonomi, faktureringssystemer og andre interne prosesser fungerer. Informasjon, spesielt sensitiv informasjon som denne, etterlater organisasjonen din fullstendig utsatt, og angriperen kan alltid prøve en annen svindel.

Så hva kan du gjøre med det? Hvordan skal du forhindre at et VEC -angrep skjer med deg?

1. Beskytt e -postkanalene dine

En av de mest effektive måtene å stoppe e -postbedrageri er å ikke engang la angriperne begynne trinn 1 i VEC -prosessen. Du kan stoppe cyberkriminelle fra å få første tilgang ved ganske enkelt å blokkere phishing -e -postene de bruker for å stjele påloggingsinformasjonen din.

Med PowerDMARC -plattformen kan du bruke DMARC -autentisering for å stoppe angripere fra å etterligne merkevaren din og sende phishing -e -post til dine egne ansatte eller forretningspartnere. Den viser deg alt som skjer i e -postkanalene dine, og varsler deg umiddelbart når noe går galt.

2. Utdann dine ansatte

En av de største feilene enda større organisasjoner gjør, er ikke å investere litt mer tid og krefter på å utdanne arbeidsstokken med bakgrunnskunnskap om vanlige svindel på nettet, hvordan de jobber og hva de skal se etter.

Det kan være veldig vanskelig å se forskjell på en ekte e-post og en godt utformet falsk e-post, men det er ofte mange tegn som også noen som ikke er godt utdannet innen cybersikkerhet kan identifisere.

3. Etablere retningslinjer for virksomheten via e -post

Mange selskaper tar bare e -post for gitt, uten å tenke på de iboende risikoene i en åpen, umoderert kommunikasjonskanal. I stedet for å stole på hver korrespondanse implisitt, må du handle med antagelsen om at personen i den andre enden ikke er den de hevder å være.

Hvis du trenger å fullføre en transaksjon eller dele konfidensiell informasjon med dem, kan du bruke en sekundær bekreftelsesprosess. Dette kan være alt fra å ringe partneren for å bekrefte, eller få en annen person til å godkjenne transaksjonen.

Angriperne finner alltid nye måter å kompromittere forretningens e -postkanaler. Du har ikke råd til å være uforberedt.

 

Bryte ned DMARC -myter

For mange mennesker er det ikke umiddelbart klart hva DMARC gjør eller hvordan det forhindrer forfalskning av domener, etterligning og svindel. Dette kan føre til alvorlige misforståelser om DMARC, hvordan e -postautentisering fungerer, og hvorfor det er bra for deg. Men hvordan vet du hva som er rett og hva som er galt? Og hvordan kan du være sikker på at du implementerer det riktig? 

PowerDMARC er her for å redde! For å hjelpe deg med å forstå DMARC bedre, har vi samlet denne listen over de 6 vanligste misforståelsene om DMARC.

Misforståelser om DMARC

1. DMARC er det samme som et spamfilter

Dette er en av de vanligste tingene folk tar feil med DMARC. Spamfiltre blokkerer innkommende e -postmeldinger som leveres til innboksen din. Dette kan være mistenkelige e -poster sendt fra noens domene, ikke bare ditt. DMARC, derimot, forteller mottakende e -postservere hvordan de skal håndtere utgående e -postmeldinger sendt fra domenet ditt. Spamfiltre som Microsoft Office 365 ATP beskytter ikke mot slike cyberangrep. Hvis domenet ditt er DMARC-håndhevet og e-posten mislykkes med autentisering, avviser den mottakende serveren det.

2. Når du har konfigurert DMARC, er e -posten din trygg for alltid

DMARC er en av de mest avanserte e-postgodkjenningsprotokollene som finnes, men det betyr ikke at den er helt selvforsynt. Du må regelmessig overvåke DMARC -rapportene dine for å sikre at e -post fra autoriserte kilder ikke blir avvist. Enda viktigere er at du må se etter uautoriserte avsendere som misbruker domenet ditt. Når du ser en IP -adresse som gjør gjentatte forsøk på å forfalske e -posten din, må du iverksette tiltak umiddelbart og få dem svartelistet eller fjernet.

3. DMARC vil redusere leveransen av e -post

Når du konfigurerer DMARC , er det viktig å først sette policyen til p = none. Dette betyr at alle e -postene dine fortsatt blir levert, men du vil motta DMARC -rapporter om de godkjente eller mislyktes. Hvis du i løpet av denne overvåkingsperioden ser din egen e -post som ikke svikter DMARC, kan du iverksette tiltak for å løse problemene. Når alle de autoriserte e -postene dine er validert riktig, kan du håndheve DMARC med retningslinjene p = karantene eller p = avvise.

4. Jeg trenger ikke å håndheve DMARC (p = ingen er nok)

Når du konfigurerer DMARC uten å håndheve den (policy p = none), blir alle e -poster fra domenet ditt - inkludert dem som ikke klarer DMARC - levert. Du mottar DMARC -rapporter, men beskytter ikke domenet ditt mot eventuelle spoofing -forsøk. Etter den første overvåkingsperioden (forklart ovenfor), er det helt nødvendig å sette policyen din til p = karantene eller p = avvise og håndheve DMARC.

5. Bare store merker trenger DMARC

Mange mindre organisasjoner tror at det bare er de største, mest gjenkjennelige merkene som trenger DMARC -beskyttelse. I virkeligheten vil cyberkriminelle bruke ethvert forretningsdomene for å starte et forfalskningsangrep . Mange mindre bedrifter har vanligvis ikke dedikerte cybersikkerhetsteam, noe som gjør det enda enklere for angripere å målrette mot små og mellomstore organisasjoner. Husk at hver organisasjon som har et domenenavn trenger DMARC -beskyttelse!

6. DMARC -rapporter er enkle å lese

Vi ser mange organisasjoner som implementerer DMARC og får rapportene sendt til sine egne innbokser. Problemet med dette er at DMARC -rapporter kommer i et XML -filformat, som kan være svært vanskelig å lese hvis du ikke er kjent med det. Å bruke en dedikert DMARC-plattform kan ikke bare gjøre installasjonsprosessen mye enklere, men PowerDMARC kan konvertere komplekse XML-filer til lettleste rapporter med grafer, diagrammer og grundig statistikk.