Bezpośrednio przechodząc do definicji Business Email Compromise: Business Email Compromise (BEC) ma miejsce, gdy haker uzyskuje dostęp do firmowego konta e-mail lub podszywa się pod legalnie wyglądające konto i przyjmuje tożsamość właściciela konta w celu popełnienia oszustwa przeciwko firmie. Ataki BEC, których celem są organizacje komercyjne, rządowe i non-profit, mogą prowadzić do utraty ogromnych ilości danych, naruszenia bezpieczeństwa i narażenia na szwank aktywów finansowych. Powszechnie panuje błędne przekonanie, że cyberprzestępcy zwykle koncentrują się na korporacjach międzynarodowych i organizacjach na poziomie przedsiębiorstwa; MŚP są obecnie tak samo celem oszustw e-mailowych, jak więksi gracze branżowi. Przejęcie konta e-mail ofiary jest godne zaufania. Można to również nazwać atakiem podszywania się, w którym atakujący ma na celu oszukanie firmy, podając się za osoby zajmujące autorytarne stanowiska, takie jak dyrektor finansowy lub dyrektor generalny, partner biznesowy lub ktokolwiek inny, komu cel może domyślnie ufać.
Atakujący często konfiguruje konto z adresem e-mail niemal identycznym z adresem w sieci firmowej, często stosując techniki takie jak literówki (np. amaz0n.com zamiast amazon.com) lub podobne domeny. BEC jest również nazywany "atakiem man-in-the-email". Podstawowe ataki BEC są niebezpieczne, ponieważ ich wykrycie jest dość trudne, ponieważ mogą wydawać się pochodzić z legalnego adresu e-mail firmy, co utrudnia śledzenie osadzonych linków do wątpliwych adresów URL używanych przez hakerów.
Trudno się dziwić, że FBI sklasyfikowało Business Email Compromise (BEC) jako "oszustwo o wartości 26 miliardów dolarów", biorąc pod uwagę średni koszt dla firm w wysokości 5,01 miliona dolarów za każde naruszeniea zagrożenie tylko rośnie. Ataki Business Email Compromise (BEC) są wymierzone w pracowników korzystających z fikcyjnych lub legalnych służbowych adresów e-mail. Ponad 1,8 miliarda dolarów zostało zarobionych przez oszustów BEC w 2020 roku, więcej niż jakakolwiek inna forma cyberprzestępczości, a Stany Zjednoczone są głównym ośrodkiem tego wpływu. Ataki BEC dotykają ponad 70% organizacji na całym świecie i prowadzą do utraty miliardów dolarów każdego roku.
Kluczowe wnioski
- Business Email Compromise (BEC) to wyrafinowany atak polegający na podszywaniu się pod organizacje różnej wielkości, mający na celu oszustwo za pomocą zwodniczych wiadomości e-mail podszywających się pod zaufane podmioty.
- BEC opiera się w dużej mierze na inżynierii społecznej, wykorzystując taktyki, takie jak oszustwa CEO, fałszywe faktury i pozorne domeny, aby zmusić pracowników do przelania środków lub ujawnienia poufnych danych.
- Wdrożenie i egzekwowanie DMARC (z SPF i DKIM) zgodnie z polityką `p=reject` jest kluczowe dla zapobiegania spoofingowi domen i blokowania nieautoryzowanych wiadomości e-mail.
- Niezbędna jest wielowarstwowa strategia obrony, w tym szkolenia pracowników, ścisłe protokoły weryfikacji płatności, MFA i czujność na literówki.
- Wykorzystanie dodatkowych protokołów bezpieczeństwa poczty e-mail, takich jak MTA-STS do szyfrowania TLS i BIMI do rozpoznawania marki, może jeszcze bardziej zwiększyć ochronę i zaufanie.
Czym jest Business Email Compromise i jak działa?
W przypadku ataku BEC osoby stanowiące zagrożenie podają się za pracowników lub wiarygodnych partnerów. Przekonują ofiarę do wykonania określonej czynności, takiej jak udzielenie dostępu do poufnych informacji lub wysłanie pieniędzy, często przy użyciu wyrafinowanych ataków socjotechnicznych, takich jak phishing, oszustwa CEO, fałszywe faktury i spoofing e-mail. Podmioty stanowiące zagrożenie nadal odnoszą sukcesy pomimo zwiększonej wiedzy na temat kompromitacji biznesowej poczty elektronicznej. Na przykład rosyjski cybergang Cosmic Lynx przeprowadził wiele wyrafinowanych kampanii BEC przy użyciu dobrze napisanych wiadomości phishingowych, co utrudnia ich wykrycie. Ponadto cyberprzestępcy wykorzystują trendy, takie jak praca zdalna, wysyłając fałszywe wiadomości e-mail podszywające się pod popularne narzędzia, takie jak Zoom, w celu kradzieży danych logowania.
Częstotliwość ataków wymierzonych w nietypowych konsumentów wzrosła o imponujące 84% w pierwszej i drugiej połowie 2021 roku. Mimo to w drugiej połowie 2021 r. wskaźnik ataków wzrósł do 0,82 na tysiąc skrzynek pocztowych. Aktorzy zagrożeń często realizują określone etapy oszustw BEC:
- Kierowanie na listy e-mail: Złośliwe podmioty zbierają docelowe wiadomości e-mail z LinkedIn, baz danych lub stron internetowych.
- Rozpoczęcie ataku: Wysyłają wiadomości e-mail przy użyciu sfałszowanych lub podobnych domen i fałszywych nazw nadawców.
- Inżynieria społeczna: Atakujący podszywają się pod zaufanych urzędników, tworząc pilną potrzebę uzyskania przelewów pieniężnych lub udostępniania danych.
- Korzyści finansowe: Ostatni etap, w którym dochodzi do kradzieży finansowej lub naruszenia danych.
Uprość bezpieczeństwo z PowerDMARC!
Jakie są główne typy ataków typu Business Email Compromise?
Według FBI, główne typy oszustw BEC to:
Fałszywe organizacje charytatywne
W atakach BEC jedna z najczęstszych form obejmuje wysyłanie wiadomości e-mail od fałszywych organizacji charytatywnych, które twierdzą, że zbierają pieniądze na szczytny cel. Takie e-maile często zawierają załączniki, które zawierają złośliwe oprogramowanie zaprojektowane w celu zainfekowania komputerów wirusami i innym złośliwym oprogramowaniem.
Problemy z podróżą
Inne powszechne oszustwo BEC polega na wysyłaniu wiadomości e-mail z fałszywych biur podróży, które twierdzą, że wystąpił problem z rezerwacją lotu lub hotelu - zwykle dlatego, że ktoś anulował rezerwację w ostatniej chwili. Wiadomość e-mail zawiera prośbę o zaktualizowanie broszury podróż nej poprzez kliknięcie załącznika lub linku zawartego w wiadomości. W ten sposób można nieumyślnie zainstalować złośliwe oprogramowanie na komputerze lub umożliwić hakerom dostęp do poufnych danych przechowywanych na urządzeniu.
Zagrożenia podatkowe
Atak ten polega na groźbie podjęcia przez agencję rządową działań prawnych lub urzędowych, jeśli ofiary nie zapłacą pieniędzy. Oszustwa te często obejmują fałszywe faktury i prośby o zapłatę w celu uniknięcia konsekwencji prawnych.
Podszywanie się pod adwokata
Te e-maile twierdzą, że adwokat potrzebuje Twojej pomocy w kwestii prawnej - albo został aresztowany, albo próbuje odebrać pieniądze należne od kogoś innego. W takich przypadkach oszuści proszą o podanie danych osobowych, aby mogli "pomóc" w danej sprawie prawnej (np. odesłać pieniądze).
Program "Faktura zafałszowana
W tym oszustwie firma wysyła do innej firmy fakturę, zwykle na znaczną kwotę. Faktura będzie zawierać informację, że odbiorca jest winien pieniądze za usługi lub przedmioty, których nie otrzymał. Może zostać poproszony o przelanie pieniędzy, aby spłacić fałszywą fakturę.
Kradzież danych
To oszustwo polega na wykradaniu wrażliwych danych z Twojej firmy i sprzedawaniu ich konkurencji lub innym zainteresowanym stronom. Złodzieje mogą również grozić, że opublikują Twoje dane, jeśli nie spełnisz ich żądań.
Jak działają ataki BEC?
Oto jak działają ataki BEC:
- Podrobione konto e-mail lub strona internetowa - atakujący podszywa się pod adres e-mail lub stronę internetową, która wygląda na legalną, czasami używając technik takich jak typosquatting lub lookalike domains. Z tego konta wyśle jedną lub więcej wiadomości phishingowych z prośbą o podanie informacji finansowych, takich jak numery kont bankowych i kody PIN, lub z żądaniem przelewu środków. Korzystanie z protokołów uwierzytelniania wiadomości e-mail, takich jak DMARC, SPF i DKIM, może pomóc w zapobieganiu fałszowaniu domeny przez hakerów.
- Wiadomości typu spear phishing - wiadomości typu spear phishing to wysoce ukierunkowane wiadomości e-mail wysyłane bezpośrednio do określonych pracowników, często tych z działu finansów lub HR. Często są one zamaskowane jako wewnętrzna komunikacja od kogoś w firmie (np. kierownictwa), zawierająca tematy takie jak "pilny przelew" lub "pilna faktura", które wymagają poufnych danych lub natychmiastowego działania.
- Korzystanie ze złośliwego oprogramowania - Atakujący mogą instalować złośliwe oprogramowanie (malware) na komputerze ofiary, często za pośrednictwem złośliwych linków lub załączników w wiadomościach phishingowych. Używają złośliwego oprogramowania do śledzenia aktywności, przechwytywania naciśnięć klawiszy (keyloggery), robienia zrzutów ekranu lub uzyskiwania stałego dostępu do systemu i sieci.
Co zrobić, aby zapobiec Business Email Compromise?
Udany atak BEC może kosztować firmę dużo pieniędzy i spowodować znaczne szkody. Można jednak zapobiec tym atakom, wykonując kilka prostych kroków, takich jak:
1. Chroń swoją domenę za pomocą DMARC, SPF i DKIM
Protokoły uwierzytelniania poczty elektronicznej, takie jak Domain-based Message Authentication, Reporting and Conformance (DMARC), Sender Policy Framework (SPF) i DomainKeys Identified Mail (DKIM) są niezbędne. SPF pozwala określić, które serwery pocztowe są upoważnione do wysyłania wiadomości e-mail dla Twojej domeny. DKIM dodaje podpis cyfrowy do wiadomości e-mail, umożliwiając odbiorcom sprawdzenie, czy wiadomość nie została zmodyfikowana.
DMARC opiera się na SPF i DKIM. Organizacja może zidentyfikować, które źródła wysyłają wiadomości e-mail w imieniu jej domeny poprzez weryfikację nadawcy i wyrównanie domeny za pomocą protokołu, a także zwiększyć widoczność swoich kanałów e-mail. DMARC pozwala właścicielom domen określić, w jaki sposób odbiorcy powinni obsługiwać wiadomości e-mail, które nie przeszły kontroli SPF lub DKIM.
Aby skutecznie zapobiegać BEC, należy wdrożyć DMARC z polityką egzekwowania. Polityki te są następujące:
p=none
: Monitoruje ruch e-mail bez wpływu na dostarczanie. Nie zapewnia ochrony przed BEC.p=quarantine
: Wysyła podejrzane wiadomości e-mail do folderu spamu lub wiadomości-śmieci odbiorcy.p=reject
: Całkowicie blokuje wiadomości e-mail, które nie przejdą weryfikacji uwierzytelniania. Jest to zalecana polityka dla maksymalnej ochrony przed BEC.
Wdrażanie DMARC wymaga opublikowania poprawnie sformatowanych rekordów SPF, DKIM i DMARC w DNS. Zalecany rekord DMARC do egzekwowania może wyglądać następująco: v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
Ta polityka odrzuca nieudane wiadomości e-mail i wysyła raporty zbiorcze (rua) i kryminalistyczne (ruf) na określone adresy w celu monitorowania. Tylko polityka odrzucania skutecznie minimalizuje BEC, zapobiegając dotarciu sfałszowanych wiadomości e-mail do skrzynek odbiorczych odbiorców. Podczas gdy filtry antyspamowe chronią przed phishingiem przychodzącym, DMARC chroni domenę przed wykorzystaniem jej w wiadomościach wychodzących. phishing i spoofing ataki.
Regularne monitorowanie za pomocą raportów DMARC (zbiorczych i kryminalistycznych) ma kluczowe znaczenie dla śledzenia przepływu wiadomości e-mail, identyfikowania problemów z uwierzytelnianiem i wykrywania potencjalnych prób podszywania się.
2. Ochrona przed phishingiem
Korzystaj z oprogramowania antyphishingowego i bram bezpieczeństwa poczty e-mail, które skanują przychodzące wiadomości e-mail pod kątem złośliwych linków, załączników i oznak inżynierii społecznej, aby blokować zagrożenia, zanim dotrą do użytkowników.
3. Rozdział obowiązków i protokoły płatności
Upewnij się, że krytyczne funkcje, zwłaszcza transakcje finansowe, takie jak przelewy bankowe, nie są wykonywane przez jedną osobę. Opracuj ścisłe protokoły zatwierdzania płatności, wymagające wielokrotnej autoryzacji i dodatkowego potwierdzenia (np. rozmowy telefonicznej lub weryfikacji osobistej) w przypadku żądań, zwłaszcza pilnych lub obejmujących zmiany szczegółów płatności.
4. Oznaczanie zewnętrznych wiadomości e-mail
Skonfiguruj swój system poczty elektronicznej tak, aby wyraźnie oznaczał wiadomości e-mail pochodzące spoza organizacji. Pomaga to pracownikom szybko zidentyfikować potencjalnie podejrzane wiadomości, które próbują podszywać się pod wewnętrznych nadawców.
5. Dokładnie sprawdzaj adresy e-mail i szczegóły
Przeszkol pracowników, aby dokładnie sprawdzali adres e-mail nadawcy pod kątem subtelnych różnic, literówek lub podobnych domen. Sprawdź, czy adres "odpowiedź do" jest zgodny z adresem "od". Należy uważać na wiadomości e-mail wymagające pilności lub zachowania tajemnicy.
6. Kształć swoich pracowników
Najlepszą obroną przed atakami BEC jest edukacja i świadomość pracowników. Pracownicy muszą zostać poinformowani o zagrożeniu BEC, sposobie jego działania, typowych taktykach (takich jak ponaglanie, podszywanie się pod autorytety) oraz o tym, w jaki sposób mogą stać się celem ataków. Powinni oni rozumieć zasady firmy dotyczące korzystania z poczty elektronicznej, udostępniania danych i transakcji finansowych, w tym procedury weryfikacji. Wdrożenie symulowanych testów phishingowych w celu oceny świadomości i identyfikacji osób wymagających dodatkowego szkolenia. Zachęcanie pracowników do natychmiastowego zgłaszania wszelkich podejrzanych wiadomości e-mail lub żądań bez obawy o represje.
7. Włącz uwierzytelnianie wieloskładnikowe (MFA)
Wdrożenie uwierzytelniania wieloskładnikowego dla wszystkich kont e-mail i innych krytycznych systemów. MFA dodaje dodatkową warstwę zabezpieczeń poza zwykłym hasłem, znacznie zmniejszając ryzyko naruszenia konta, nawet jeśli poświadczenia zostaną skradzione. W celu zwiększenia bezpieczeństwa warto rozważyć uwierzytelnianie wieloskładnikowe oparte na ryzyku lub lokalizacji.
8. Zakaz automatycznego przekazywania wiadomości e-mail
Wyłącz automatyczne przekazywanie wiadomości e-mail na adresy zewnętrzne w ustawieniach systemu poczty e-mail organizacji. Hakerzy mogą nadużywać tej funkcji do cichego monitorowania komunikacji lub przekierowywania poufnych informacji po przejęciu konta.
9. Wdrożenie dodatkowych protokołów bezpieczeństwa
Rozważ dalsze zwiększenie bezpieczeństwa poczty e-mail:
- MTA-STS (Mail Transfer Agent Strict Transport Security): Zapewnia szyfrowanie TLS dla wiadomości e-mail w tranzycie, chroniąc przed podsłuchem i atakami typu man-in-the-middle. Użyj TLS-RPT (TLS Reporting), aby uzyskać raporty o powodzeniu i niepowodzeniu negocjacji TLS.
- BIMI (Brand Indicators for Message Identification): Dołącza zweryfikowane logo marki do uwierzytelnionych wiadomości e-mail, zwiększając rozpoznawalność marki i pomagając odbiorcom wizualnie zidentyfikować legalne wiadomości w obsługiwanych klientach poczty e-mail. BIMI wymaga egzekwowania DMARC.
- Zarządzanie rekordami SPF: Upewnij się, że rekord SPF nie przekracza limitu 10 wyszukiwań DNS, aby uniknąć błędów walidacji. Narzędzia takie jak spłaszczanie SPF mogą pomóc w zarządzaniu złożonymi rekordami.
10. Zgłaszanie oszustw
Jeśli podejrzewasz lub padłeś ofiarą oszustwa BEC, natychmiast zgłoś to odpowiednim władzom (takim jak IC3 FBI w USA) i swoim instytucjom finansowym. Zgłaszanie pomaga organom ścigania śledzić te przestępstwa i potencjalnie odzyskać środki.
Wniosek
Oszustwa typu Business Email Compromise wymykają się nawet najbardziej zaawansowanym środkom bezpieczeństwa, często atakując kluczowy personel, taki jak dyrektor generalny lub dyrektor finansowy, za pomocą jednej, dobrze spreparowanej wiadomości e-mail. Podsumowując, BEC to naprawdę podstępny wektor ataku, który pozostaje powszechny w świecie biznesu. A to oznacza, że powinieneś być tego bardzo świadomy, niezależnie od wielkości Twojej organizacji. Połączenie kontroli technicznych, takich jak egzekwowanie DMARC, solidnych procedur wewnętrznych i ciągłej edukacji pracowników jest niezbędne do zbudowania silnej obrony.
Użyj Analizator DMARC PowerDMARC, aby upewnić się, że wiadomości e-mail z Twojej domeny są dostarczane i uniknąć wysyłania fałszywych wiadomości. Kiedy przestajesz spoofingować, robisz coś więcej niż tylko ochronę swojej marki. Zapewniasz przetrwanie swojej firmy poprzez wdrożenie kluczowej części stosu uwierzytelniania poczty elektronicznej, który może również obejmować SPF, DKIM, BIMI, MTA-STS i TLS-RPT w celu zapewnienia kompleksowej ochrony.
- Wymuszone wymagania nadawcy Microsoft - jak uniknąć odrzucenia 550 5.7.15 - 30 kwietnia 2025 r.
- Jak zapobiegać oprogramowaniu szpiegującemu? - 25 kwietnia 2025 r.
- Jak skonfigurować SPF, DKIM i DMARC dla Customer.io - 22 kwietnia 2025 r.