Jeśli chodzi o cyberprzestępczość i zagrożenia bezpieczeństwa, Vendor Email Compromise (VEC) jest największym ojcem oszustw e-mailowych. Jest to rodzaj ataku, na który większość organizacji jest najmniej przygotowana i na który są najbardziej narażone. W ciągu ostatnich 3 lat VEC kosztował organizacje ponad 26 miliardów dolarów. A jego przeprowadzenie może być szokująco łatwe.
Podobnie jak w przypadku VEC, ataki BEC polegają na tym, że napastnik podszywa się pod wyższego rangą członka zarządu organizacji, wysyłając e-maile do nowo zatrudnionego pracownika, często w dziale finansowym. Proszą oni o dokonanie przelewu środków lub płatności za fałszywe faktury, co jeśli zostanie wykonane wystarczająco dobrze, może przekonać mniej doświadczonego pracownika do zainicjowania transakcji. Aby uniknąć tego zagrożenia, przeczytaj warunki płatności faktur i bądź o krok do przodu.
Można zrozumieć, dlaczego BEC jest tak dużym problemem wśród dużych organizacji. Trudno jest monitorować działania wszystkich pracowników, a ci mniej doświadczeni są bardziej podatni na to, że dadzą się nabrać na e-mail, który wydaje się pochodzić od ich szefa lub dyrektora finansowego. Kiedy organizacje pytały nas, jaki jest najbardziej niebezpieczny cyberatak, na który muszą uważać, naszą odpowiedzią zawsze był BEC.
To znaczy, do czasu Silent Starling.
Zorganizowany syndykat cyberprzestępczy
Tak zwany Silent Starling to grupa nigeryjskich cyberprzestępców z historią w oszustwach i wyłudzeniach sięgającą 2015 roku. W lipcu 2019 r. zaangażowali się w dużą organizację, podszywając się pod dyrektora generalnego jednego z partnerów biznesowych. W wiadomości e-mail poproszono o nagłą, dokonaną w ostatniej chwili zmianę danych bankowych, żądając pilnego przelewu.
Na szczęście odkryto, że e-mail był fałszywy, zanim doszło do jakiejkolwiek transakcji, ale w toku śledztwa wyszły na jaw niepokojące szczegóły metod działania grupy.
W tak zwanym Vendor Email Compromise (VEC), atakujący przeprowadzają znacznie bardziej skomplikowany i zorganizowany atak, niż ma to miejsce w przypadku konwencjonalnych ataków BEC. Atak składa się z 3 oddzielnych, misternie zaplanowanych faz, które wydają się wymagać o wiele więcej wysiłku niż większość ataków BEC. Oto jak to działa.
VEC: Jak oszukać firmę w 3 krokach
Krok 1: Wprowadzenie się
Atakujący najpierw uzyskują dostęp do konta e-mail jednej lub więcej osób w organizacji. Jest to starannie zaaranżowany proces: dowiadują się, które firmy nie mają domen uwierzytelnionych przez DMARC. Są to łatwe cele do podrobienia. Atakujący uzyskują dostęp, wysyłając pracownikom wiadomość phishingową, która wygląda jak strona logowania i kradną ich dane logowania. Teraz mają pełny dostęp do wewnętrznego funkcjonowania organizacji.
Krok 2: Zbieranie informacji
Ten drugi krok jest jak faza obserwacji. Przestępcy mogą teraz czytać poufne e-maile i wykorzystywać to, aby mieć oko na pracowników zajmujących się przetwarzaniem płatności i transakcji. Atakujący identyfikują największych partnerów biznesowych i sprzedawców organizacji docelowej. Zbierają informacje na temat wewnętrznego funkcjonowania organizacji - takie rzeczy jak praktyki rozliczeniowe, warunki płatności, a nawet wygląd oficjalnych dokumentów i faktur.
Krok 3: Podejmowanie działań
Mając zebrane informacje, oszuści tworzą niezwykle realistyczny e-mail i czekają na odpowiednią okazję, aby go wysłać (zazwyczaj tuż przed dokonaniem transakcji). E-mail jest skierowany do właściwej osoby we właściwym czasie i przychodzi przez prawdziwe konto firmowe, co sprawia, że jest prawie niemożliwy do zidentyfikowania.
Dzięki doskonałej koordynacji tych 3 kroków, Silent Starling byli w stanie naruszyć systemy bezpieczeństwa organizacji, do której zostali skierowani i prawie udało im się ukraść dziesiątki tysięcy dolarów. Byli jednymi z pierwszych, którzy spróbowali tak wyrafinowanego cyberataku i niestety, z pewnością nie będą ostatnimi.
Nie chcę być ofiarą VEC. Co mam zrobić?
Naprawdę przerażające w przypadku VEC jest to, że nawet jeśli udało Ci się go wykryć, zanim oszuści zdążyli ukraść jakiekolwiek pieniądze, nie oznacza to, że szkody nie zostały wyrządzone. Atakującym nadal udało się uzyskać pełny dostęp do Twoich kont e-mail i komunikacji wewnętrznej, a także uzyskać szczegółowe zrozumienie sposobu funkcjonowania finansów Twojej firmy, systemów billingowych i innych procesów wewnętrznych. Informacje, zwłaszcza tak wrażliwe, pozostawiają Twoją organizację całkowicie odsłoniętą, a atakujący zawsze może próbować kolejnego oszustwa.
Więc co możesz z tym zrobić? Jak możesz zapobiec atakowi VEC?
1. Chroń swoje kanały e-mail
Jednym z najskuteczniejszych sposobów na powstrzymanie oszustw e-mailowych jest niedopuszczenie do tego, aby atakujący rozpoczęli etap 1 procesu VEC. Możesz uniemożliwić cyberprzestępcom uzyskanie pierwszego dostępu, po prostu blokując wiadomości phishingowe, których używają do kradzieży Twoich danych logowania.
Platforma PowerDMARC pozwala na wykorzystanie uwierzytelniania DMARC do powstrzymania napastników przed podszywaniem się pod Twoją markę i wysyłaniem wiadomości phishingowych do Twoich pracowników lub partnerów biznesowych. Pokazuje wszystko, co dzieje się w kanałach e-mailowych i natychmiast alarmuje, gdy coś jest nie tak.
2. Kształć swój personel
Jednym z największych błędów popełnianych nawet przez większe organizacje jest nie zainwestowanie nieco więcej czasu i wysiłku w edukację swoich pracowników w zakresie wiedzy na temat typowych oszustw internetowych, sposobu ich działania oraz tego, na co należy zwracać uwagę.
Odróżnienie prawdziwej wiadomości e-mail od dobrze spreparowanej fałszywki może być bardzo trudne, ale często istnieje wiele znaków ostrzegawczych, które może rozpoznać nawet ktoś, kto nie jest dobrze wyszkolony w zakresie bezpieczeństwa cybernetycznego.
3. Ustanowienie zasad prowadzenia działalności za pośrednictwem poczty elektronicznej
Wiele firm traktuje pocztę elektroniczną jako coś oczywistego, nie zastanawiając się nad ryzykiem związanym z otwartym, niemoderowanym kanałem komunikacji. Zamiast bezgranicznie ufać każdej korespondencji, działaj z założeniem, że osoba po drugiej stronie nie jest tym, za kogo się podaje.
Jeśli musisz sfinalizować jakąś transakcję lub podzielić się z nimi poufnymi informacjami, możesz skorzystać z procesu weryfikacji wtórnej. Może to być cokolwiek, od zadzwonienia do partnera w celu potwierdzenia, lub autoryzacji transakcji przez inną osobę.
Atakujący wciąż znajdują nowe sposoby na atakowanie biznesowych kanałów poczty elektronicznej. Nie możesz sobie pozwolić na bycie nieprzygotowanym.
- Jak znaleźć najlepszego dostawcę rozwiązań DMARC dla swojej firmy? - 25 kwietnia 2024 r.
- PowerDMARC i Zendata nawiązują partnerstwo w celu zwiększenia bezpieczeństwa domeny - 25 kwietnia 2024 r.
- PowerDMARC współpracuje z CNS w celu rozwoju praktyk bezpieczeństwa poczty elektronicznej na Bliskim Wschodzie - 24 kwietnia 2024 r.