När det gäller cyberbrott och säkerhetshot är Leverantörs-e-postkompromiss (VEC) den stora pappan för e-postbedrägeri. Det är den typ av attack som de flesta organisationer är minst förberedda för, och en som de mest sannolikt kommer att drabbas av. Under de senaste 3 åren har VEC kostat organisationer över $ 26 miljarder. Och det kan vara chockerande lätt att utföra.

I likhet med VEC involverar BEC-attacker angriparen som utger sig för att vara en högre chef på organisationen och skickar e-postmeddelanden till en nyanställd anställd, ofta på ekonomiavdelningen. De begär fondöverföringar eller betalningar av falska fakturor, som om de utförs tillräckligt bra kan övertyga en mindre erfaren anställd att initiera transaktionen.

Du kan se varför BEC är ett så stort problem bland stora organisationer. Det är svårt att övervaka aktiviteterna för alla dina anställda, och de mindre erfarna är mer benägna att falla för ett e-postmeddelande som verkar komma från deras chef eller CFO. När organisationer frågade oss vad som är den farligaste cyberattacken de behövde se upp för var vårt svar alltid BEC.

Det vill säga tills Silent Starling.

Organiserat cyberbrottssyndikat

Den så kallade Silent Starling är en grupp nigerianska cyberbrottslingar med en historia av bedrägerier och bedrägerier som går så långt tillbaka som 2015. I juli 2019 samarbetade de med en stor organisation och utgav sig för att vara VD för en av sina affärspartners. E-postmeddelandet bad om en plötslig, sista minuten förändring av bankuppgifter och begärde en brådskande banköverföring.

Tack och lov upptäckte de att e-postmeddelandet var falskt innan någon transaktion inträffade, men i den efterföljande undersökningen uppdagades de störande detaljerna i gruppens metoder.

I vad som nu kallas Leverantörs e-postkompromiss (VEC) startar angriparna en betydligt mer detaljerad och organiserad attack än vad som vanligtvis händer i konventionell BEC. Attacken har 3 separata, intrikat planerade faser som verkar kräva mycket mer ansträngning än vad de flesta BEC-attacker vanligtvis kräver. Så här fungerar det.

VEC: Hur man lurar ett företag i 3 steg

Steg 1: Inbrott

Angriparna får först tillgång till e-postkontot för en eller flera personer i organisationen. Detta är en noggrant orkestrerad process: de tar reda på vilka företag som saknar DMARC-autentiserade domäner. Det här är lätta mål att förfalska. Angripare får åtkomst genom att skicka ett phishing-e-postmeddelande till anställda som ser ut som en inloggningssida och stjäl deras inloggningsuppgifter. Nu har de full tillgång till organisationens inre arbete.

Steg 2: Samla in information

Detta andra steg är som en spaningsfas. Brottslingarna kan nu läsa konfidentiella e-postmeddelanden och använda detta för att hålla utkik efter anställda som är involverade i att behandla betalningar och transaktioner. Angriparna identifierar målorganisationens största affärspartners och leverantörer. De samlar in information om organisationens inre arbete – saker som faktureringsmetoder, betalningsvillkor och till och med hur officiella dokument och fakturor ser ut.

Steg 3: Vidta åtgärder

Med all denna intelligens insamlad skapar bedragarna ett extremt realistiskt e-postmeddelande och väntar på rätt möjlighet att skicka det (vanligtvis strax innan en transaktion är på väg att äga rum). E-postmeddelandet riktar sig till rätt person vid rätt tidpunkt och kommer via ett äkta företagskonto, vilket gör det nästan omöjligt att identifiera.

Genom att perfekt samordna dessa 3 steg kunde Silent Starling äventyra sin målorganisations säkerhetssystem och lyckades nästan stjäla tiotusentals dollar. De var bland de första att prova en så utarbetad cyberattack, och tyvärr kommer de verkligen inte att vara de sista.

Jag vill inte bli offer för VEC. Vad ska jag göra?

Det riktigt skrämmande med VEC är att även om du har lyckats upptäcka det innan bedragarna kunde stjäla några pengar, betyder det inte att ingen skada har gjorts. Angriparna lyckades fortfarande få fullständig tillgång till dina e-postkonton och intern kommunikation och kunde få en detaljerad förståelse för hur ditt företags ekonomi, faktureringssystem och andra interna processer fungerar. Information, särskilt känslig information som denna, lämnar din organisation helt exponerad, och angriparen kan alltid försöka en annan bluff.

Så vad kan du göra åt det? Hur ska du förhindra att en VEC-attack händer dig?

1. Skydda dina e-postkanaler

Ett av de mest effektiva sätten att stoppa e-postbedrägerier är att inte ens låta angriparna börja steg 1 av VEC-processen. Du kan stoppa cyberbrottslingar från att få initial åtkomst genom att helt enkelt blockera phishing-e-postmeddelandena de använder för att stjäla dina inloggningsuppgifter.

Med PowerDMARC-plattformen kan du använda DMARC-autentisering för att hindra angripare från att utge sig för att vara ditt varumärke och skicka phishing-e-postmeddelanden till dina egna anställda eller affärspartners. Det visar allt som händer i dina e-postkanaler och varnar dig omedelbart när något går fel.

2. Utbilda din personal

Ett av de största misstagen som även större organisationer gör är att inte investera lite mer tid och ansträngning för att utbilda sin arbetskraft med bakgrundskunskap om vanliga onlinebedrägerier, hur de arbetar och vad de ska se upp för.

Det kan vara mycket svårt att se skillnaden mellan ett riktigt e-postmeddelande och ett välgjord falskt, men det finns ofta många tecken på att även någon som inte är välutbildad inom cybersäkerhet kan identifiera.

3. Upprätta policyer för företag via e-post

Många företag tar bara e-post för givet, utan att egentligen tänka på de inneboende riskerna i en öppen, omodern kommunikationskanal. I stället för att lita på varje korrespondens implicit, agera med antagandet att personen i andra änden inte är den de påstår sig vara.

Om du behöver slutföra en transaktion eller dela konfidentiell information med dem kan du använda en sekundär verifieringsprocess. Detta kan vara allt från att ringa partnern för att bekräfta, eller få en annan person att godkänna transaktionen.

Angripare hittar alltid nya sätt att kompromissa med e-postkanaler för företag. Du har inte råd att vara oförberedd.

 

Bryta ner DMARC-myter

För många människor är det inte omedelbart klart vad DMARC gör eller hur det förhindrar domänförfalskning, imitation och bedrägeri. Detta kan leda till allvarliga missuppfattningar om DMARC, hur e-postautentisering fungerar och varför det är bra för dig. Men hur vet du vad som är rätt och vad som är fel? Och hur kan du vara säker på att du implementerar det korrekt? 

PowerDMARC är här för att rädda! För att hjälpa dig att förstå DMARC bättre har vi sammanställt den här listan över de 6 vanligaste missuppfattningarna om DMARC.

Missuppfattningar om DMARC

1. DMARC är samma som ett skräppostfilter

Detta är en av de vanligaste sakerna människor får fel om DMARC. Skräppostfilter blockerar inkommande e-postmeddelanden som levereras till inkorgen. Det kan vara misstänkta e-postmeddelanden som skickas från någons domän, inte bara din. DMARC, å andra sidan, berättar för mottagande e-postservrar hur man hanterar utgående e-postmeddelanden som skickas från din domän. Skräppostfilter som Microsoft Office 365 ATP skyddar inte mot sådana cyberattacker. Om din domän är DMARC-framtvingad och e-postmeddelandet misslyckas med autentiseringen avvisar den mottagande servern den.

2. När du har konfigurerat DMARC är din e-post säker för alltid

DMARC är ett av de mest avancerade e-postautentiseringsprotokollen där ute, men det betyder inte att det är helt självförsörjande. Du måste regelbundet övervaka dina DMARC-rapporter för att se till att e-postmeddelanden från auktoriserade källor inte avvisas. Ännu viktigare är att du måste kontrollera om obehöriga avsändare missbrukar din domän. När du ser en IP-adress som gör upprepade försök att förfalska din e-post måste du vidta åtgärder omedelbart och få dem svartlistade eller nedtagna.

3. DMARC minskar min e-postavlivningsförmåga

När du konfigurerar DMARCär det viktigt att först ange principen till p=none. Detta innebär att alla dina e-postmeddelanden fortfarande levereras, men du får DMARC-rapporter om huruvida de har klarat eller misslyckats med autentiseringen. Om du under den här övervakningsperioden ser dina egna e-postmeddelanden misslyckas DMARC kan du vidta åtgärder för att lösa problemen. När alla dina auktoriserade e-postmeddelanden har validerats korrekt kan du framtvinga DMARC med en policy för p=karantän eller p=avvisa.

4. Jag behöver inte genomdriva DMARC (p = ingen räcker)

När du konfigurerar DMARC utan att tillämpa det (princip för p=none) levereras alla e-postmeddelanden från din domän – inklusive de som misslyckas med DMARC. Du kommer att få DMARC-rapporter men inte skydda din domän från några falska försök. Efter den första övervakningsperioden (förklaras ovan) är det absolut nödvändigt att ställa in din policy på p=karantän eller p=avvisa och genomdriva DMARC.

5. Endast stora märken behöver DMARC

Många mindre organisationer tror att det bara är de största, mest igenkännliga varumärkena som behöver DMARC-skydd. I verkligheten kommer cyberbrottslingar att använda alla affärsdomäner för att starta en falsk attack. Många mindre företag har vanligtvis inte dedikerade cybersäkerhetsteam, vilket gör det ännu enklare för angripare att rikta in sig på små och medelstora organisationer. Kom ihåg att varje organisation som har ett domännamn behöver DMARC-skydd!

6. DMARC-rapporter är lätta att läsa

Vi ser många organisationer implementera DMARC och få rapporterna skickade till sina egna e-postinkorgar. Problemet med detta är att DMARC-rapporter kommer i ett XML-filformat, vilket kan vara mycket svårt att läsa om du inte är bekant med det. Att använda en dedikerad DMARC-plattform kan inte bara göra installationsprocessen mycket enklare, utan PowerDMARC kan konvertera dina komplexa XML-filer till lättlästa rapporter med diagram, diagram och djupgående statistik.