Wykrywanie cyberzagrożeń i zapobieganie im
4. Przejawy cyberprzestępczości
4.7. Prześladowanie użytkowników poczty elektronicznej (BEC)
Business Email Compromise[1] to rodzaj oszustwa, w którym osoba atakująca podszywa się pod członka zarządu (zazwyczaj dyrektora generalnego) i próbuje nakłonić pracownika, klienta lub sprzedawcę do przekazania pieniędzy lub poufnych informacji osobie atakującej.
Oszustwo BEC może być powiązane z innymi formami oszustw, takimi jak oszustwa dotyczące romansów, loterii, zatrudnienia i wynajmu.
Zgodnie z definicją FBI, BEC to wyrafinowane oszustwo, którego celem są firmy współpracujące z zagranicznymi dostawcami i/lub firmy regularnie dokonujące płatności przelewem. Oszustwo polega na naruszeniu legalnych biznesowych kont e-mail za pomocą technik inżynierii społecznej lub włamań komputerowych w celu przeprowadzenia nieuprawnionych transferów środków.[2]
W przeciwieństwie do tradycyjnego ataku phishingowego, atak BEC jest wymierzony w konkretną osobę lub organizację. W przypadku ataku BEC atakujący bardzo dokładnie przygotowuje się do ataku i stara się uzyskać jak najwięcej informacji o ofierze przed jego przeprowadzeniem. Zazwyczaj wykorzystują strony internetowe, raporty roczne, informacje o pracownikach organizacji pochodzące z sieci społecznościowych, ze skompromitowanych kont e-mail itp.
Tak wysoki poziom ukierunkowania pomaga tym oszustwom e-mailowym prześlizgnąć się przez filtry antyspamowe i ominąć kampanie białej rejestracji wiadomości e-mail. Może to również znacznie utrudnić pracownikom rozpoznanie, że wiadomość e-mail nie jest prawdziwa.[3]
Ofiarami oszustw BEC padają zarówno małe firmy, jak i duże korporacje. Oszustwo BEC jest powiązane z innymi formami oszustw, w tym między innymi z oszustwami dotyczącymi romansów, loterii, zatrudnienia i wynajmu.
FBI ostrzegło, że oszustwa BEC będą "nadal rosły, ewoluowały i stawały się celem firm różnej wielkości". FBI wspomniało również, że od stycznia 2015 r. zaobserwowało 1300% wzrost liczby ataków na kompromitujące wiadomości e-mail w przedsiębiorstwach.[4]
Napastnicy BEC wykorzystują taktykę inżynierii społecznej, aby oszukać niczego niepodejrzewających pracowników i kadrę kierowniczą. Niektóre z przykładowych wiadomości e-mail mają tematy zawierające między innymi takie słowa, jak prośba, płatność, przelew i pilne.
Oszustwo BEC przybiera zwykle jedną z następujących form:
1. Oszustwo na Prezesa Zarządu
Atakujący podszywają się pod dyrektora generalnego firmy lub innego członka zarządu i wysyłają spreparowaną wiadomość e-mail do pracowników z możliwością wysyłania przelewów bankowych oraz instruują ich, aby wysyłali środki do atakujących.
2. Fałszywe faktury [5]
Firma, która często utrzymuje długotrwałe relacje z dostawcą, otrzymuje prośbę o przelanie środków na zapłatę za fakturę na inne, fałszywe konto. Napastnik zazwyczaj kontaktuje się z ofiarą za pośrednictwem poczty elektronicznej lub telefonu. Atak za pośrednictwem poczty elektronicznej zazwyczaj zawiera sfałszowany kod źródłowy (nagłówek) i temat żądania, dzięki czemu wygląda ono bardzo podobnie do prawdziwego żądania.
3. Włamanie na konto
Ten atak jest podobny do ataku Fałszywe faktury. Atakujący wykorzystuje konto e-mail pracownika (zhakowane lub sfałszowane), a następnie wysyła wiadomość e-mail do klientów, informując ich, że wystąpił problem z ich płatnością i muszą ponownie przesłać ją na inne konto.
4. Wcielanie się w członków zarządu i adwokatów
Z ofiarami kontaktują się napastnicy, którzy podają się za prawników lub przedstawicieli firm prawniczych. Atakujący prosi o duży przelew środków, aby pomóc w rozwiązaniu sporu prawnego lub zapłaceniu zaległego rachunku. Atakujący stara się przekonać ofiary, że przelew jest poufny i ma duże znaczenie czasowe, więc jest mniej prawdopodobne, że pracownik będzie próbował potwierdzić, czy powinien przelać środki.
5. Kradzież danych
Rodzaj BEC, którego celem nie jest bezpośredni transfer pieniędzy. Typowymi ofiarami takiego ataku są pracownicy działów finansowych lub kadrowych. Atakujący prosi ich o przesłanie na swoje konto danych o wysokim stopniu poufności. Wykorzystywana jest socjotechnika, a atak polegający na kradzieży danych może stanowić punkt wyjścia do wspomnianych wyżej ataków BEC ukierunkowanych na transfery finansowe.
Od 2017 r. w Republice Czeskiej odnotowano gwałtowny wzrost liczby ataków oszukańczych mających charakter BEC. Również w tym przypadku większość ataków BEC wykorzystuje podobny modus operandi:
1. Wybieranie ofiary i zdobywanie informacji na jej temat (najczęstszym celem są średnie i małe organizacje)
2. Przygotowanie fałszywej wiadomości e-mail (do stworzenia fałszywej wiadomości e-mail bardzo często wykorzystywane są ogólnodostępne darmowe serwisy, np. www.5ymail.com. Usługa ta umożliwia atakującemu stworzenie i wysłanie dowolnej fałszywej wiadomości e-mail, która odpowiada istniejącej wiadomości e-mail. Usługa ta nie umożliwia jednak otrzymywania odpowiedzi, dlatego konieczne jest przekierowanie komunikacji e-mailowej na inny istniejący adres e-mail, zarejestrowany np. w serwisie freemail. Prawdziwą tożsamość można znaleźć w kodzie źródłowym komunikatu).
3. Wysyłanie spreparowanej wiadomości e-mail do pracownika ofiary (najczęstsze ataki BEC to Oszustwo dyrektora generalnego i Fałszywe faktury). Kwoty wymagane w ten sposób wynoszą zazwyczaj od kilkuset euro do 4000 euro).
4. Żądanie natychmiastowego lub "pilnego" przelania pieniędzy na konto osoby atakującej lub mułów pieniężnych [zatwierdzenie płatności, jak również osoby, która wydaje polecenie dokonania płatności, jest kluczowym momentem, w którym można zapobiec realizacji czynu przestępczego. Jeśli organizacja ma odpowiednio skonfigurowane protokoły bezpieczeństwa, takie przekazywanie danych zwykle nie ma miejsca. Z punktu widzenia identyfikacji napastnika, konto napastnika lub konto mułów pieniężnych jest narzędziem, które pozwala w praktyce stwierdzić, czy mamy do czynienia z kontynuacją czynu zabronionego (tj. z punktu widzenia prawa karnego materialnego z jednym czynem zabronionym), czy też ze zbiegiem czynów zabronionych. Jednocześnie jest to de facto najbardziej znaczący ślad cyfrowy, który umożliwia identyfikację napastnika].
5. Przelew pieniędzy na konto osoby atakującej lub "słupa".
[1] Oszustwa BEC znane są również pod nazwą "oszustwa CEO" lub "oszustwa typu Man-in-the-Email".
[2] Przejęcie służbowej poczty
elektronicznej: oszustwo warte 3,1 miliarda dolarów. [online]. Dostępne pod adresem:
https://www.ic3.gov/media/2016/160614.aspx
[3]
Co to jest atak typu BEC (Business Email Compromise)? I jak temu zapobiec? [online]. Dostępne pod adresem: https://blog.barkly.com/what-is-a-business-email-compromise-bec-attack-and-how-can-i-stop-it
[4] Przejęcie służbowej poczty elektronicznej: oszustwo warte 3,1 miliarda dolarów. [online]. Dostępne pod adresem: https://www.ic3.gov/media/2016/160614.aspx
[5] Atak ten nazywany jest również: "schematem fałszywej faktury" (Bogus Invoice Scheme). "Oszustwo dostawcy" oraz "Schemat modyfikacji faktur".