Jeśli chodzi o cyberprzestępczość i zagrożenia bezpieczeństwa, Vendor Email Compromise (VEC) jest wielkim ojcem oszustw e-mailowych. Jest to typ ataku, na który większość organizacji jest najmniej przygotowana i który najprawdopodobniej zostanie przez nie zaatakowany. W ciągu ostatnich 3 lat VEC kosztował organizacje ponad 26 miliardów dolarów. A jego przeprowadzenie może być szokująco proste.

Podobnie jak w przypadku VEC, ataki BEC polegają na tym, że atakujący podszywa się pod osobę na wyższym stanowisku kierowniczym w organizacji i wysyła e-maile do nowo zatrudnionego pracownika, często w dziale finansowym. Żądają oni dokonania przelewu środków lub zapłaty za fałszywe faktury, co jeśli zostanie wykonane wystarczająco dobrze, może przekonać mniej doświadczonego pracownika do zainicjowania transakcji.

Można zrozumieć, dlaczego BEC jest tak dużym problemem wśród dużych organizacji. Trudno jest monitorować działania wszystkich pracowników, a ci mniej doświadczeni są bardziej podatni na to, że dadzą się nabrać na e-mail, który wydaje się pochodzić od ich szefa lub dyrektora finansowego. Kiedy organizacje pytały nas, jaki jest najbardziej niebezpieczny cyberatak, na który muszą uważać, naszą odpowiedzią zawsze był BEC.

To znaczy, do czasu Silent Starling.

Zorganizowany syndykat cyberprzestępczy

Tak zwany Silent Starling to grupa nigeryjskich cyberprzestępców z historią w oszustwach i wyłudzeniach sięgającą 2015 roku. W lipcu 2019 r. zaangażowali się w dużą organizację, podszywając się pod dyrektora generalnego jednego z partnerów biznesowych. W wiadomości e-mail poproszono o nagłą, dokonaną w ostatniej chwili zmianę danych bankowych, żądając pilnego przelewu.

Na szczęście odkryto, że e-mail był fałszywy, zanim doszło do jakiejkolwiek transakcji, ale w toku śledztwa wyszły na jaw niepokojące szczegóły metod działania grupy.

W tak zwanym Vendor Email Compromise (VEC), atakujący przeprowadzają znacznie bardziej skomplikowany i zorganizowany atak, niż ma to miejsce w przypadku konwencjonalnych ataków BEC. Atak składa się z 3 oddzielnych, misternie zaplanowanych faz, które wydają się wymagać o wiele więcej wysiłku niż większość ataków BEC. Oto jak to działa.

VEC: Jak oszukać firmę w 3 krokach

Krok 1: Wprowadzenie się

Atakujący najpierw uzyskują dostęp do konta e-mail jednej lub kilku osób w danej organizacji. Jest to starannie zaplanowany proces: dowiadują się oni, które firmy nie posiadają uwierzytelnionych domen DMARC. Są to łatwe cele do sfałszowania. Atakujący uzyskują dostęp, wysyłając pracownikom phishingowy e-mail, który wygląda jak strona logowania i kradną ich dane logowania. Teraz mają pełny dostęp do wnętrza organizacji.

Krok 2: Zbieranie informacji

Ten drugi krok jest jak faza obserwacji. Przestępcy mogą teraz czytać poufne e-maile i wykorzystywać to, aby mieć oko na pracowników zajmujących się przetwarzaniem płatności i transakcji. Atakujący identyfikują największych partnerów biznesowych i sprzedawców organizacji docelowej. Zbierają informacje na temat wewnętrznego funkcjonowania organizacji - takie rzeczy jak praktyki rozliczeniowe, warunki płatności, a nawet wygląd oficjalnych dokumentów i faktur.

Krok 3: Podejmowanie działań

Mając zebrane informacje, oszuści tworzą niezwykle realistyczny e-mail i czekają na odpowiednią okazję, aby go wysłać (zazwyczaj tuż przed dokonaniem transakcji). E-mail jest skierowany do właściwej osoby we właściwym czasie i przychodzi przez prawdziwe konto firmowe, co sprawia, że jest prawie niemożliwy do zidentyfikowania.

Dzięki doskonałej koordynacji tych 3 kroków, Silent Starling byli w stanie naruszyć systemy bezpieczeństwa organizacji, do której zostali skierowani i prawie udało im się ukraść dziesiątki tysięcy dolarów. Byli jednymi z pierwszych, którzy spróbowali tak wyrafinowanego cyberataku i niestety, z pewnością nie będą ostatnimi.

Nie chcę być ofiarą VEC. Co mam zrobić?

Naprawdę przerażające w przypadku VEC jest to, że nawet jeśli udało Ci się go wykryć, zanim oszuści zdążyli ukraść jakiekolwiek pieniądze, nie oznacza to, że szkody nie zostały wyrządzone. Atakującym nadal udało się uzyskać pełny dostęp do Twoich kont e-mail i komunikacji wewnętrznej, a także uzyskać szczegółowe zrozumienie sposobu funkcjonowania finansów Twojej firmy, systemów billingowych i innych procesów wewnętrznych. Informacje, zwłaszcza tak wrażliwe, pozostawiają Twoją organizację całkowicie odsłoniętą, a atakujący zawsze może próbować kolejnego oszustwa.

Więc co możesz z tym zrobić? Jak możesz zapobiec atakowi VEC?

1. Chroń swoje kanały e-mail

Jednym z najskuteczniejszych sposobów na powstrzymanie oszustw e-mailowych jest niedopuszczenie do tego, aby atakujący rozpoczęli etap 1 procesu VEC. Możesz uniemożliwić cyberprzestępcom uzyskanie pierwszego dostępu, po prostu blokując wiadomości phishingowe, których używają do kradzieży Twoich danych logowania.

Platforma PowerDMARC pozwala na wykorzystanie uwierzytelniania DMARC do powstrzymania napastników przed podszywaniem się pod Twoją markę i wysyłaniem wiadomości phishingowych do Twoich pracowników lub partnerów biznesowych. Pokazuje wszystko, co dzieje się w kanałach e-mailowych i natychmiast alarmuje, gdy coś jest nie tak.

2. Kształć swój personel

Jednym z największych błędów popełnianych nawet przez większe organizacje jest nie zainwestowanie nieco więcej czasu i wysiłku w edukację swoich pracowników w zakresie wiedzy na temat typowych oszustw internetowych, sposobu ich działania oraz tego, na co należy zwracać uwagę.

Odróżnienie prawdziwej wiadomości e-mail od dobrze spreparowanej fałszywki może być bardzo trudne, ale często istnieje wiele znaków ostrzegawczych, które może rozpoznać nawet ktoś, kto nie jest dobrze wyszkolony w zakresie bezpieczeństwa cybernetycznego.

3. Ustanowienie zasad prowadzenia działalności za pośrednictwem poczty elektronicznej

Wiele firm traktuje pocztę elektroniczną jako coś oczywistego, nie zastanawiając się nad ryzykiem związanym z otwartym, niemoderowanym kanałem komunikacji. Zamiast bezgranicznie ufać każdej korespondencji, działaj z założeniem, że osoba po drugiej stronie nie jest tym, za kogo się podaje.

Jeśli musisz sfinalizować jakąś transakcję lub podzielić się z nimi poufnymi informacjami, możesz skorzystać z procesu weryfikacji wtórnej. Może to być cokolwiek, od zadzwonienia do partnera w celu potwierdzenia, lub autoryzacji transakcji przez inną osobę.

Atakujący wciąż znajdują nowe sposoby na atakowanie biznesowych kanałów poczty elektronicznej. Nie możesz sobie pozwolić na bycie nieprzygotowanym.