Blog Spaceship

Czym jest business email compromise (BEC)?

Każdego roku przestępcy wyłudzają miliardy. Nie przez włamywanie się do eleganckich galerii sztuki czy bankowych skarbców, ale przez wysłanie właściwego e-maila do właściwej osoby we właściwym czasie. Tak właśnie to robią.

W tym artykule dowiesz się:

  • Czym właściwie jest business email compromise

  • Jak przeprowadza się te ataki, krok po kroku

  • Najczęstsze rodzaje ataków BEC

  • Przykład ataku na 37 milionów dolarów z prawdziwego świata

  • Jak chronić firmę, zanim stanie się celem

Czym jest business email compromise w cyberbezpieczeństwie?

Business email compromise to cyberatak, w którym przestępcy podszywają się pod osobę, której ufasz, aby skłonić Cię do wysłania pieniędzy lub przekazania wrażliwych danych. To, co czyni go niebezpiecznym, to cierpliwość i planowanie. Atakujący spędzają tygodnie, ucząc się, jak komunikuje się firma, kto ma uprawnienia i kiedy uderzyć. Zanim e-mail trafi do skrzynki, wygląda jak zwykła wiadomość od kogoś, kogo znasz.

Jak działa atak business email compromise?

Istnieje sprawdzony schemat takich ataków i oszuści stosują go za każdym razem.

Krok 1 – Znajdź cel

Sedno ataku typu business email compromise polega na tym, że musi on być przekonujący. Na szczęście dla atakujących Internet jest kopalnią informacji o potencjalnych celach. Szybkie spojrzenie na Twój profil w mediach społecznościowych może ujawnić Twoją pracę, bliskich znajomych, a nawet ton Twojego głosu. Połącz to z komunikatami prasowymi o przyszłych ruchach Twojej firmy i biogramami ze stron firmowych, a wszystko zaczyna wyglądać wiarygodnie.

Atakujący mogą zebrać wszystkie te informacje i w ciągu kilku sekund stworzyć e-mail, który wygląda i brzmi jak prawdziwy.

Krok 2 – Dostań się do skrzynki odbiorczej

Aby treść e-maila wydawała się prawdziwa, atakujący muszą opakować ją w atrakcyjną, wiarygodną formę. Jeśli adres e-mail nie wygląda na pochodzący z zaufanego źródła, cały przekręt spali na panewce.

Atakujący mogą podszyć się pod domenę, rejestrując nazwę taką jak acme-corp.com zamiast acmecorp.com. Albo, jeśli są wystarczająco sprytni, włamać się do prawdziwej skrzynki odbiorczej, przez co odróżnienie wiadomości od autentycznej staje się niemal niemożliwe.

W końcu jeśli coś wygląda jak kaczka i kwacze jak kaczka, większość uzna, że to kaczka.

Krok 3 – Zbuduj zaufanie

W przypadku tych ataków cierpliwość to podstawa. Atakujący mogą ukrywać się w przejętej skrzynce odbiorczej przez tygodnie, czytając wątki e-maili i ucząc się stylów komunikacji. Gdy e-mail w końcu nadejdzie, wtapia się w poprzednie wiadomości, naśladując ton i przebieg rozmowy.

Krok 4 – Przedstaw prośbę

Gdy atakujący znają Cię na wylot — Twój ton wypowiedzi, imiona i stanowiska Twoich współpracowników oraz to, co dzieje się w Twojej firmie — i skutecznie wkradli się do Twojej poczty e-mail, wysyłają prośbę.

Zwykle chodzi o coś, czego nie da się łatwo cofnąć. Może to obejmować wysłanie pieniędzy na konto bankowe lub udostępnienie prywatnych informacji. Kluczowe jest to, że musi być to nieodwracalne. 

Gdy cel zorientuje się, że coś jest nie tak, atakujący potrzebuje, by szkoda została już wyrządzona. Jeśli jest wyjątkowo podstępny, może nawet wysłać wiadomość w okresie świątecznym, gdy czujność wszystkich jest obniżona i szanse powodzenia są większe.

Krok 5 – Zniknij bez śladu

Po wysłaniu środków są one szybko przenoszone przez serię kont pośredniczących. Zwykle znajdują się one za granicą, co sprawia, że ślad pieniędzy jest bardzo trudny do prześledzenia nawet dla organów ścigania.

Przykład business email compromise

Business email compromise to ostateczny boss wśród cyfrowych ataków. Zwykle dotyczy dużych firm i przyprawiających o zawrót głowy sum pieniędzy. 

W 2019 roku jeden z głównych dostawców Toyoty stracił dziesiątki milionów w ramach jednego przelewu. Atakujący włamał się do systemu e-mail Toyota Boshoku. Czytał wiadomości i uczył się, jak komunikuje się firma. Gdy w rozmowie pojawił się temat dużego przelewu pieniędzy, poprosił osobę w firmie mającą uprawnienia do przesyłania środków o zaktualizowanie danych konta bankowego dla tego przelewu. Wyglądało to wiarygodnie i pieniądze zostały wysłane.

I po prostu tak, 37 milionów dolarów zniknęło.

Rodzaje ataków business email compromise

Nie wszystkie przykłady business email compromise wyglądają tak samo. Oczywiście celem zawsze jest nakłonienie ludzi do przekazania jak największej ilości pieniędzy, ale podejście może być bardzo różne.

Oszustwo CEO (podszywanie się pod kadrę kierowniczą)

To najbardziej rozpoznawalna forma BEC. Atakujący podszywa się pod członka wyższej kadry kierowniczej, zwykle CEO lub CFO, i wywiera presję na kogoś z działu finansów, by przelał pieniądze. Działa to ze względu na zależność służbową. Gdy szef czegoś chce, większość ludzi nie zatrzymuje się, by zapytać dlaczego. Jeśli połączy się to jeszcze z wiarygodną historią, wystarczy to, by skłonić kogoś do działania bez zastanowienia.

Przejęcie e-maila dostawcy

Atakujący celują w relacje poza firmą, zamiast udawać kogoś z jej wnętrza. Obierają za cel zaufanych dostawców i kontrahentów, wślizgują się do istniejących rozmów e-mailowych i podmieniają prawdziwe dane płatności na własne. Z perspektywy ofiary wygląda to jak rutynowa aktualizacja faktury od dostawcy, z którym współpracuje od lat.

Przejęcie konta

To najniebezpieczniejszy wariant, ponieważ nie ma tu żadnego spoofingu. Atakujący korzysta z prawdziwego konta. E-mail pochodzi z prawdziwego adresu i używa właściwego tonu. Wiadomość wygląda całkowicie normalnie, bo technicznie taka właśnie jest.

Przekierowanie wypłaty

Ten wariant nie jest wymierzony w pieniądze firmy. Zamiast tego celuje w pracowników. Atakujący podszywają się pod HR lub pracownika i proszą o aktualizację danych płacowych, po cichu przekierowując wynagrodzenie na konto, które kontrolują. 

Ofiara dowiaduje się o tym dopiero w dniu wypłaty, a ponieważ kwoty są mniejsze, a prośba wygląda normalnie, rzadko uruchamia to alert o oszustwie. To wolniejsza wersja BEC, ale jeśli trafi wystarczająco wielu pracowników, szybko robi się z tego duża suma.

BEC a phishing – jaka jest różnica?

E-maile phishingowe istnieją od dawna, a większość ludzi wie, jak wyglądają. To te wiadomości, które mówią Ci, że wygrałeś nagrodę albo że nigeryjski książę potrzebuje Twojej pomocy. Są wysyłane masowo i opierają się na samej skali, by zaskoczyć kogoś w nieodpowiednim momencie.

Podczas gdy phishing jest siecią, BEC jest snajperem. Atakujący spędzają tygodnie na badaniu jednej firmy, a czasem jednej konkretnej osoby. Zanim e-mail trafi do skrzynki, wygląda jak wtorkowa poranna wiadomość od kogoś, kogo znasz.

Phishing zwykle ma na celu zdobycie Twoich danych logowania, ale BEC całkowicie pomija ten krok i od razu sięga po pieniądze lub dane.

Jak rozpoznać atak business email compromise

Ataki BEC są zaprojektowane tak, by wyglądały normalnie. Ale jeśli wiesz, na co zwracać uwagę, oznaki są widoczne.

  • Pośpiech— E-mail naciskający na szybkie przelanie pieniędzy, bez czasu na zatrzymanie się i weryfikację.

  • Nagła zmiana — Dostawca lub współpracownik nagle aktualizuje swoje dane płatności bez wyraźnego powodu.

  • Adres prawie poprawny — Adres e-mail nadawcy różni się od prawdziwego tylko jednym znakiem.

  • Ton, który jest trochę nie taki— Coś wydaje się nie tak: zbyt formalne, zbyt swobodne albo dziwnie tajemnicze.

  • Prośba znikąd — Jesteś proszony o zrobienie czegoś, co normalnie odbywałoby się innym kanałem.

Jak zapobiec atakowi business email compromise

Wiedza o tym, jak działają te ataki, to połowa sukcesu. Druga połowa to upewnienie się, że Twoja firma nie jest łatwym celem.

Podnieś słuchawkę

Jeśli e-mail prosi Cię o przelanie pieniędzy lub zaktualizowanie danych płatności, nie odpowiadaj na niego. Zadzwoń bezpośrednio do tej osoby, używając numeru, który już masz, a nie tego z e-maila. To zajmuje trzydzieści sekund i jest najskuteczniejszą rzeczą, jaką możesz zrobić.

Włącz uwierzytelnianie dwuskładnikowe

Jeśli atakujący zdobędzie dane logowania jakiejś osoby, 2FA może zablokować pełne przejęcie skrzynki odbiorczej. Nie zatrzyma wszystkiego, ale znacznie utrudnia przejęcie konta.

Pokaż swojemu zespołowi, jak wygląda właściwe działanie

Regularne szkolenia na temat tego, czym jest BEC, jak działa i jak wyglądają sygnały ostrzegawcze, mogą zamienić Twoich pracowników w linię obrony.

Pozwól swoim narzędziom wykonać część ciężkiej pracy

Filtry spamu i narzędzia do uwierzytelniania domen, takie jak SPF, DKIM, and DMARC, mogą odfiltrować próby BEC, zanim dotrą do Twojego zespołu. Wykrywanie oparte na AI idzie o krok dalej. Uczy się, jak wygląda normalne zachowanie e-mailowe w Twojej organizacji, i oznacza wszystko, co podejrzane.

Najczęściej zadawane pytania

Business email compromise ma miejsce wtedy, gdy przestępca udaje w e-mailu osobę, której ufasz, aby nakłonić Cię do wysłania pieniędzy lub udostępnienia wrażliwych informacji. Atakujący wysyłają przekonujący e-mail, który naśladuje ton firmowych wiadomości, a nawet pochodzi z firmowego adresu e-mail.

Są ze sobą powiązane, ale nie są tym samym. Phishing zarzuca szeroką sieć, wysyłając ogólne e-maile do jak największej liczby osób. Ataki BEC są ukierunkowane. Atakujący badają konkretną firmę, konkretną osobę i konkretny moment. Efekt jest znacznie bardziej przekonujący i znacznie bardziej kosztowny.

Większość oszustw business email compromise zaczyna się od rozpoznania. Atakujący analizują strukturę firmy i jej komunikację. Gdy wiedzą już wystarczająco dużo, albo podszywają się pod zaufany adres e-mail, albo przejmują prawdziwy.

Oszustwo CEO. Atakujący podszywa się pod członka wyższej kadry kierowniczej i wywiera presję na kogoś z działu finansów, aby szybko przelał pieniądze. Działa to, ponieważ większość ludzi nie kwestionuje pilnej prośby od szefa.

Tak. Ochrona przed business email compromise zaczyna się od ludzi. Przeszkol swój zespół, aby rozpoznawał sygnały ostrzegawcze, weryfikował prośby o płatność telefonicznie i korzystał z narzędzi takich jak 2FA i DMARC, aby utrudnić przejęcie Twojej poczty e-mail. Żaden pojedynczy środek nie jest niezawodny, ale właściwe połączenie sprawia, że stajesz się znacznie trudniejszym celem.


Sugerowane artykuły

Podziel się swoimi przemyśleniami

Wymagane jest więcej niż 10 znaków.
Twoja tożsamość do publicznego wyświetlania.
Podanie adresu e-mail jest opcjonalne. Nie będzie on udostępniany osobom trzecim.

Pomóż nam ulepszyć nasz blog

Podziel się swoimi przemyśleniami w krótkiej, dwuminutowej ankiecie.

Wymagany jest prawidłowy adres e-mail