Business email compromise (BEC) powiązane jest ze wszystkimi rodzajami ataków na pocztę elektroniczną, która nie zawiera payloadu. Chociaż występuje wiele rodzajów ataków, istnieją zasadniczo dwa główne mechanizmy, za pomocą których napastnicy penetrują organizacje wykorzystujące techniki BEC: spoofing i ataki polegające na przejęciu konta.

Internetowe Centrum Zażaleń na Przestępstwa FBI (IC3) udostępniło aktualne dane na temat oszustw BEC. Były one najdroższymi cyberatakami w 2020 roku, z 19 369 skargami i potwierdzonymi stratami w wysokości około 1,8 miliarda dolarów. Ostatnie ataki BEC obejmują ataki spoofingowe na gospodarza Shark Tank, Barbarę Corcoran, która straciła 380 000 dolarów; ataki na Portoryko, które kosztowały rząd tego państwa 4 miliony dolarów, oraz japońskiego giganta medialnego, Nikkei, który przelał 29 milionów dolarów na podstawie instrukcji zawartych w spreparowanym e-mailu.

Aby udaremnić atak BEC, organizacja musi skupić się przede wszystkim na zasadzie Złotego Trójkąta: dostosowaniu ludzi, procesów i technologii.

Ludzie

Wszyscy pracownicy firmy powinni być przeszkoleni, aby wiedzieć jak wygląda atak cybernetyczny, jak reagować, czego nie robić i co najważniejsze, szkolenia te powinny być przeprowadzane na bieżąco, ponieważ krajobraz cyberbezpieczeństwa zmienia się bardzo szybko.

Pracownicy działu finansowego - lub wszyscy, którzy są upoważnieni do wypłacania środków w jakiejkolwiek formie - powinni zostać przeszkoleni w zakresie tego, jak wyglądają ataki BEC i inne ataki typu spoofing.

Należy z całą siłą podkreślać, że wiele z tych ataków przybiera formę e-maili od menedżerów wysokiego szczebla. Są to zazwyczaj "pilne" prośby i polecenia, często wysyłane na kilka minut przed zamknięciem firmy i wymagające natychmiastowego działania. Dzięki takim szkoleniom oraz wymogom, aby wszyscy pracownicy przestrzegali polityki autoryzacji wydatków, większość firm powinna być w stanie powstrzymać ataki BEC.

Proces

Dział finansowy w każdej organizacji posiada politykę autoryzacji wydatków. Polityka ta ustanawia jasne poziomy zatwierdzania wszelkich wydatków/płatności w celu ochrony aktywów firmy. Polityka ta stanowi narzędzie dla działu finansowego, aby zapewnić, że każda płatność jest autoryzowana przez właściwą osobę lub osoby.

W niektórych przypadkach, dyrektor generalny lub prezes firmy mają nieograniczone uprawnienia w zakresie żądania płatności. Cyberprzestępcy zdają sobie z tego sprawę, dlatego też podszywają się pod konta e-mail osób na wysokich stanowiskach.

Biorąc pod uwagę obecny krajobraz cyberbezpieczeństwa, dział finansowy powinien ponownie zweryfikować tę politykę, aby wprowadzić bardziej rygorystyczne procesy. Może to oznaczać wymóg wielokrotnej autoryzacji większych wydatków opłacanych przelewem lub innym kanałem, aby upewnić się, że wniosek o płatność jest kierowany przez osobę uprawnioną i faktycznie realizowany na życzenie pracownika danej instytucji. Może to również określać sposób uzyskiwania autoryzacji elektronicznej.

Na przykład, jeśli ktoś z działu finansowego otrzyma e-mail od dyrektora generalnego z prośbą o dokonanie przelewu, administrator przetwarzający wniosek jest zobowiązany do postępowania zgodnie z polityką firmy w celu uzyskania dodatkowych potwierdzeń. Co za tym idzie, wysyłania e-maili do wcześniej zatwierdzonej listy dystrybucyjnej w celu uzyskania potwierdzeń elektronicznych oraz potwierdzeń telefonicznych.

Technologia

Zaawansowana technologia cyberbezpieczeństwa nowej generacji zdecydowanie może pomóc zablokować większość zagrożeń związanych z atakami hakerskimi na  pocztę elektroniczną. Co za tym idzie, przed zagrożeniami związanymi ze: spamem, phishingiem, BEC, atakami  następczymi, zaawansowanymi trwałymi zagrożeniami (APT) oraz lukami w zabezpieczeniach typu zero-day, możemy się bronić zanim dosięgną one użytkowników końcowych danej organizacji.

Rozwiązania tego typu obejmują:

-silnik antyspamowy, który blokuje złośliwą komunikację za pomocą filtrów antyspamowych i opartych na reputacji;

-silnik antyphishingowy wykrywający złośliwe adresy URL i zapobiegający wszelkim rodzajom ataków phishingowych, zanim dotrą one do użytkowników końcowych;

-mechanizm antyspoofingowy zapobiegający atakom bez użycia payload, takim jak spoofing, domeny look-alike i podszywanie się pod nazwę użytkownika;

-technologie zapobiegające omijaniu, które wykrywają złośliwe ukryte treści poprzez rekursywne rozpakowywanie treści na mniejsze jednostki (pliki i adresy URL), które są następnie dynamicznie sprawdzane przez wiele silników w ciągu kilku sekund;

-inteligencja maszynowa (MI) i przetwarzanie języka naturalnego (NLP) w celu sprawdzenia odstępstw od normy w treści i kontekście, takich jak identyfikacja nietypowego stylu pisania, słów kluczowych, które mogą oznaczać złośliwą aktywność, dziwnych adresów IP, lokalizacji geograficznych, czasu itp.;

-wykrywanie w celu zapobiegania zaawansowanym zagrożeniom i atakom zero-day;

-analiza ad-hoc wiadomości e-mail dla użytkowników końcowych w celu identyfikacji podejrzanych wiadomości e-mail przed podjęciem nierozważnych działań;

-pomoc kontekstowa dla użytkowników końcowych w celu oznaczania wiadomości e-mail za pomocą dostosowywanych banerów opartych na politykach i regułach, aby zapewnić użytkownikom końcowym dodatkowe informacje kontekstowe i zwiększyć ich świadomość w zakresie bezpieczeństwa.

Wszystkie rozwiązania powinny być w stanie wykryć i zatrzymać ataki typu spoofing i przejęcie konta, w których cyberprzestępca uzyskuje dostęp do legalnego konta e-mail i próbuje przedostać się dalej do sieci.

Aktualna skuteczność ataków jest powodem, dla którego firmy i dostawcy usług zarządzanych decydują się na korzystanie z różnych rozwiązań zwiększających bezpieczeństwo w cyberprzestrzeni. Należy tak projektować rozwiązania aby pomóc obniżyć ryzyko biznesowe i zwiększyć produktywność. Oczywistym jest również, aby implementować unikalne połączenia inteligencji maszynowej (MI), automatyzacji i integracji rozwiązań w zakresie wspomnianego cyberbezpieczeństwa.

Tekst na podstawie The Hacker News,  Best Practices to Thwart Business Email Compromise (BEC) Attacks opracował Szef Wydziału Ćwiczeń Cyberbezpieczeństwa ppłk dr Paweł MAJDAN