W erze cyfryzacji i rozwoju internetu z cyberprzestępczością wcześniej czy później zetknie się każdy użytkownik sieci. Zagrożenie jest tym większe, im więcej mają do stracenia potencjalne ofiary przestępstwa – wśród nich znajdują się nie tylko zwykli ludzie, lecz także duże firmy oraz organizacje z wypracowaną pozycją i renomą na rynku. W ich przypadku narzędziem zbrodni często okazują się służbowe skrzynki e-mailowe. Ataki BEC, VEC, phishing – co to takiego?
Ofiarami BEC (Bussines E-mail Compromise), czyli naruszenia służbowych skrzynek pocztowych, pada coraz więcej organizacji na całym świecie. - W oszustwach BEC najczęściej chodzi o to, aby daną firmę, instytucję czy gminę przekonać do przelania pieniędzy na konto należące do oszustów - wyjaśnia Kamil Sadkowski, z firmy ESET specjalizującej się w zabezpieczeniach dla sieci IT. Hakerzy włamują się na konta e-mail konkretnych pracowników. Analizują sposób komunikacji i treści biznesowe zawarte w dotychczasowych wiadomościach, a następnie podszywają się pod właściciela przejętej skrzynki w kontakcie z jego współpracownikami. Scenariuszy ataku jest kilka, a każdy z nich prowadzi do strat finansowych lub kradzieży poufnych danych.
Polecenie szefa czy CEO fraud?
Oszuści często ze skrzynki szefa albo pracownika wysokiego szczebla wysyłają prośbę o pilny przelew na określony numer konta, oczywiście należący do przestępców. Tak zwane CEO fraud to podstępna cybermanipulacja na granicy z socjotechniką. Większość pracowników rzadko dostaje bowiem e-maile bezpośrednio od prezesa albo przedstawicieli najwyższej kadry zarządzającej. Z tym powiązana jest chęć jak najlepszego wywiązania się z otrzymanego od „szefa” polecenia.
Równie zgubne bywają ataki, w którym oszuści podają się za prawnika, który reprezentuje organizację w poufnych lub wrażliwych sprawach. Efekt jest taki sam, czyli utrata przez firmę pieniędzy, bo rzekomy przedstawiciel kancelarii prawnej wywiera presję na pracownika lub menedżera w zakresie potajemnej obsługi transferu środków finansowych.
Kamil Sadkowski wskazuje, że w tym roku BEC miały miejsce również w Polsce. Radomska miejska spółka „Rewitalizacja” przelała prawie 2 mln zł na konto należące do oszustów. Przestępca podawał się za funkcjonariusza CBŚ i przekonał księgowego do przelewu, informując, że w przeciwnym razie dojdzie do ataku hakerskiego na konto spółki. Ofiarą oszustwa BEC padła również gmina Rząśnia, która utraciła 5 mln zł, myśląc, że przelewa środki na lokatę długoterminową w banku.
Jak wynika z raportu amerykańskiej firmy Abnormal Security, która zajmuje się sprzedażą zaawansowanych zabezpieczeń dla służbowej poczty elektronicznej (Email Treat Report, IIIQ 2021), wielkość organizacji ma znaczenie, jeżeli chodzi o „podatność” na próby ataków BEC. Co ciekawe, średnia ich liczba na tysiąc skrzynek e-mailowych, jest najwyższa w przypadku mniejszych firm i systematycznie spada wraz ze wzrostem wielkości organizacji - wskazano w raporcie. Prób włamań jest więcej w przypadku firm liczących mniej niż 500 pracowników, a niemal ich nie ma w organizacjach zatrudniających powyżej 20 tys. osób. Może to oznaczać, że oszuści częściej koncentrują się na skrzynkach osób pełniących określone role w organizacji niż na zasięgu firmy.
Dane Abnormal Security za II kw. tego roku pokazują, że przestępcy, dokonując ataków BEC, najczęściej wykorzystują brand Microsoft Outlook. Od kwietnia do czerwca cyberoszuści przeprowadzili ponad 500 szerokich akcji rozsyłania e-maili, podszywając się pod markę cyfrowego giganta. Na drugim miejscu uplasował się Amazon, którego markę przestępcy wykorzystali w ponad 450 szeroko zakrojonych akcjach.
„Nowa gwiazda na scenie cyberprzestępstw”
W III kw. 2021 r. aż 61 proc. organizacji padło ofiarą próby ataku VEC (Vendor E-mail Compromise) - wynika z raportu Abnormal Security. Autorzy publikacji określili ten typ oszustwa jako „nową gwiazdę na scenie cyberprzestępczości”.
Na czym polega VEC? Hakerzy przejmują konto e-mail uznanego dostawcy i w jego imieniu wysyłają do firm, z którymi ten współpracuje fałszywe faktury, aktualizacje danych do przelewu, czy prośby o przekazanie wrażliwych danych. Stąd już tylko krok do przelewów na konto przestępcy. VEC różni się od „tradycyjnego” BEC tym, że wymaga tego, aby oszust miał pełny dostęp do konta e-mail dostawcy, z którego przeprowadza ataki, co oznacza przejęcie służbowej poczty dostawcy.
Liczba VEC rośnie w niepokojącym tempie począwszy do III kw. 2020 r. W raporcie Abnormal Security wskazano, że od lipca do września 2021 r. mediana próby oszustwa VEC wśród klientów tej firmy wyniosła 4. Oznacza to, że „szansa” na stanie się ofiarą wzrosła w ciągu roku o 96 proc. Może wydawać się, że cztery ataki na kwartał to niewiele. Ale trzeba pamiętać, że wykorzystuje się do nich przejęte konta e-mail. Ponieważ wiadomości pochodzą z prawdziwych skrzynek dostawców i odwołują się do prawdziwych informacji o dostawcy, tego typu działania są szczególnie trudne do wykrycia, a tym samym bardzo dochodowe dla cyberprzestępców - podkreślają autorzy publikacji. Przy średnim żądaniu 183 tys. dol., cztery udane oszustwa na kwartał mogą kosztować firmę miliony każdego roku.
W przypadku „podatności” firm na VEC, tendencja jest odwrotna niż w przypadku tradycyjnego Bussines E-mail Compromise. Z raportu Abnormal Security wynika, że najbardziej narażone są organizacje liczące powyżej 20 tys. pracowników. W przypadku tych poniżej 5 tys. zatrudnionych próby ataków są podejmowano średnio raz na pięć tygodni.
Pułapka uwierzytelniania danych
Cyberprzestępcy, atakując pocztę służbową, coraz częściej wykorzystują phishing. Oszuści wysyłają fałszywe e-maile z prośbą o uwierzytelnienie danych, w których znajdują się linki przekierowujące na phishingowe strony internetowe. To tzw. Credential Phishing Attack. Pracownik, który stracił czujność, wpisuje dane uwierzytelniające, a to prowadzi do przejęcia jego skrzynki e-mail przez oszustów. Wtedy cyberprzestępca z łatwością może dokonać kolejnych ataków typu BEC i VEC, które w praktyce okazują się bardzo skuteczne.
Ofiarą ataku phishingowego, który ma na celu pozyskanie danych uwierzytelniających do służbowej poczty, może paść każda organizacja - bez względu na jej wielkości. Według ekspertów Abnormal Security w przypadku firm zatrudniających poniżej 500 osób prawdopodobieństwo wystąpienia tego rodzaju przestępstwa w ciągu tygodnia pracy wynosi 92 proc., zaś w przypadku większych organizacji - 95 proc. Dlatego tym istotniejsze okazuje się znalezienie rozwiązania, które pozwoli blokować takie wiadomości, zanim trafią one na skrzynki pracowników.
