Mỗi năm, tội phạm cuỗm đi hàng tỷ đô la. Không phải bằng cách đột nhập vào những phòng trưng bày nghệ thuật sang trọng hay két sắt ngân hàng, mà bằng cách gửi đúng email cho đúng người vào đúng thời điểm. Đây là cách chúng thực hiện điều đó.
Trong bài viết này, bạn sẽ tìm hiểu:
Xâm phạm email doanh nghiệp thực sự là gì
Cách những cuộc tấn công này được thực hiện, từng bước một
Các loại tấn công BEC phổ biến nhất
Ví dụ thực tế về một cuộc tấn công 37 triệu đô la
Cách bảo vệ doanh nghiệp của bạn trước khi nó trở thành mục tiêu
Xâm phạm email doanh nghiệp trong an ninh mạng là gì?
Xâm phạm email doanh nghiệp là một cuộc tấn công mạng trong đó tội phạm mạo danh người mà bạn tin tưởng để lừa bạn gửi tiền hoặc giao nộp dữ liệu nhạy cảm. Điều khiến nó nguy hiểm là sự kiên nhẫn và tính toán. Kẻ tấn công dành hàng tuần để tìm hiểu cách một công ty giao tiếp, ai là người có thẩm quyền, và khi nào nên ra tay. Đến khi email xuất hiện, nó trông như một email bình thường từ người bạn quen biết.
Một cuộc tấn công xâm phạm email doanh nghiệp hoạt động như thế nào?
Có một kịch bản đã được kiểm chứng qua thời gian cho những cuộc tấn công này, và kẻ lừa đảo luôn làm theo nó mỗi lần.
Bước 1 – Tìm mục tiêu
Toàn bộ mục đích đằng sau một cuộc tấn công xâm phạm email doanh nghiệp là nó phải đủ thuyết phục. May mắn cho kẻ tấn công, Internet là một mỏ vàng thông tin về các mục tiêu tiềm năng. Chỉ cần lướt nhanh hồ sơ mạng xã hội của bạn cũng có thể tiết lộ công việc, bạn bè thân thiết, và thậm chí cả giọng điệu giao tiếp của bạn. Ghép những điều này với các thông cáo báo chí về những bước đi sắp tới của công ty và phần giới thiệu trên website công ty, mọi thứ bắt đầu trông rất đáng tin.
Kẻ tấn công có thể thu thập toàn bộ thông tin đó và chỉ trong vài giây tạo ra một email trông và nghe như thật.
Bước 2 – Xâm nhập vào hộp thư đến
Để nội dung email có vẻ chân thực, kẻ tấn công cần bọc nó trong một lớp vỏ hào nhoáng và đáng tin. Nếu địa chỉ email không có vẻ đến từ một nguồn đáng tin cậy, toàn bộ trò lừa đảo sẽ thất bại.
Kẻ tấn công có thể giả mạo tên miền bằng cách đăng ký một tên như acme-corp.com thay vì acmecorp.com. Hoặc, nếu đủ tinh vi, chúng sẽ xâm nhập vào hộp thư thật, khiến việc phân biệt với một tin nhắn chính thống gần như là không thể.
Suy cho cùng, nếu nó trông như vịt và kêu như vịt, đa số mọi người sẽ nghĩ đó là vịt.
Bước 3 – Xây dựng lòng tin
Với những cuộc tấn công này, kiên nhẫn là yếu tố quyết định. Kẻ tấn công có thể ẩn mình trong một hộp thư bị xâm nhập suốt nhiều tuần, đọc các chuỗi email và học cách mọi người giao tiếp. Khi email cuối cùng được gửi đến, nó hòa lẫn với các email trước đó, mô phỏng giọng điệu và mạch hội thoại.
Bước 4 – Đưa ra yêu cầu
Khi kẻ tấn công đã biết rõ về bạn — giọng điệu giao tiếp, tên và chức danh của đồng nghiệp, cũng như những gì đang diễn ra trong công ty bạn — và đã thành công len lỏi vào email của bạn, yêu cầu sẽ được gửi đi.
Đó thường là thứ không thể dễ dàng hoàn tác. Có thể là gửi tiền vào một tài khoản ngân hàng hoặc chia sẻ thông tin riêng tư. Điểm mấu chốt là nó phải không thể đảo ngược.
Khi mục tiêu nhận ra có điều gì đó không ổn, kẻ tấn công cần chắc chắn rằng thiệt hại đã xảy ra rồi. Nếu đặc biệt ranh mãnh, chúng thậm chí có thể gửi nó vào dịp lễ hội khi mọi người mất cảnh giác hơn và khả năng thành công cao hơn.
Bước 5 – Biến mất không để lại dấu vết
Sau khi tiền được gửi đi, chúng sẽ nhanh chóng được chuyển qua một loạt tài khoản trung gian. Những tài khoản này thường ở nước ngoài, khiến dòng tiền rất khó lần theo ngay cả với cơ quan thực thi pháp luật.
Ví dụ về xâm phạm email doanh nghiệp
Xâm phạm email doanh nghiệp là trùm cuối của các cuộc tấn công số. Nó thường liên quan đến các công ty lớn và những khoản tiền khổng lồ đến choáng váng.
Năm 2019, một trong những nhà cung cấp lớn của Toyota đã mất hàng chục triệu đô la chỉ trong một lần chuyển khoản. Kẻ tấn công đã xâm nhập vào hệ thống email của Toyota Boshoku. Chúng đọc tin nhắn và tìm hiểu cách công ty giao tiếp. Khi một khoản chuyển tiền lớn được nhắc đến trong cuộc trao đổi, chúng yêu cầu một người trong công ty có thẩm quyền chuyển tiền cập nhật thông tin tài khoản ngân hàng cho giao dịch đó. Mọi thứ trông hợp lệ, và tiền đã được gửi đi.
Chỉ như vậy thôi, 37 triệu đô la đã biến mất.
Các loại tấn công xâm phạm email doanh nghiệp
Không phải mọi ví dụ về xâm phạm email doanh nghiệp đều giống nhau. Tất nhiên, mục tiêu luôn là lừa mọi người giao ra càng nhiều tiền càng tốt, nhưng cách tiếp cận có thể rất khác nhau.
Lừa đảo CEO (Mạo danh lãnh đạo)
Đây là hình thức BEC được biết đến nhiều nhất. Kẻ tấn công mạo danh một lãnh đạo cấp cao, thường là CEO hoặc CFO, và gây áp lực buộc ai đó trong bộ phận tài chính chuyển tiền. Nó hiệu quả vì yếu tố quyền lực. Khi sếp muốn điều gì đó, đa số mọi người sẽ không dừng lại để hỏi tại sao. Nếu điều này còn được kết hợp với một câu chuyện nền đáng tin, như vậy là đủ để khiến ai đó hành động mà không suy nghĩ kỹ.
Xâm phạm email nhà cung cấp
Kẻ tấn công nhắm vào các mối quan hệ bên ngoài công ty thay vì giả vờ là người bên trong. Chúng nhắm vào các nhà cung cấp và đối tác đáng tin cậy, len vào các cuộc trao đổi email đang diễn ra và thay thông tin thanh toán thật bằng thông tin của chúng. Từ phía nạn nhân, nó trông như một cập nhật hóa đơn thông thường từ một nhà cung cấp mà họ đã làm việc cùng nhiều năm.
Chiếm đoạt tài khoản
Đây là biến thể nguy hiểm nhất vì không có hành vi giả mạo nào liên quan. Kẻ tấn công đang sử dụng tài khoản thật. Email đến từ một địa chỉ thật và dùng đúng giọng điệu. Tin nhắn trông hoàn toàn bình thường, vì về mặt kỹ thuật thì đúng là như vậy.
Chuyển hướng lương
Kiểu này không nhắm vào tiền của công ty. Thay vào đó, nó nhắm vào nhân viên. Kẻ tấn công giả làm bộ phận nhân sự hoặc một nhân viên và yêu cầu cập nhật bảng lương, âm thầm chuyển hướng tiền lương vào một tài khoản do chúng kiểm soát.
Nạn nhân chỉ phát hiện ra vào ngày lĩnh lương, và vì số tiền nhỏ hơn cũng như yêu cầu trông bình thường, nó hiếm khi kích hoạt cảnh báo gian lận. Đây là một phiên bản BEC chậm hơn, nhưng chỉ cần nhắm trúng đủ nhiều nhân viên, thiệt hại sẽ tăng lên rất nhanh.
BEC so với Phishing – Khác nhau ở điểm nào?
Email phishing đã xuất hiện từ rất lâu, và hầu hết mọi người đều biết nó trông như thế nào. Đó là kiểu email nói với bạn rằng bạn đã trúng thưởng, hoặc một hoàng tử Nigeria cần bạn giúp đỡ. Chúng được gửi hàng loạt và dựa vào số lượng lớn để bắt trúng ai đó lúc mất cảnh giác.
Nếu phishing là một tấm lưới, thì BEC là một tay bắn tỉa. Kẻ tấn công dành hàng tuần để nghiên cứu một công ty, đôi khi là một người cụ thể. Đến khi email xuất hiện, nó trông như một email sáng thứ Ba từ một người bạn quen biết.
Phishing thường nhắm đến thông tin đăng nhập của bạn, nhưng BEC bỏ qua hoàn toàn bước đó và đi thẳng đến tiền hoặc dữ liệu.
Cách nhận biết một cuộc tấn công xâm phạm email doanh nghiệp
Các cuộc tấn công BEC được thiết kế để trông bình thường. Nhưng nếu bạn biết cần tìm gì, các dấu hiệu vẫn ở đó.
Sự thúc ép— Một email thúc giục bạn chuyển tiền thật nhanh, không cho bạn cơ hội dừng lại và xác minh.
Sự thay đổi đột ngột — Một nhà cung cấp hoặc đồng nghiệp đột nhiên cập nhật thông tin thanh toán mà không có báo trước.
Địa chỉ gần đúng — Email người gửi chỉ khác địa chỉ thật đúng một ký tự.
Giọng điệu hơi sai sai— Có gì đó không ổn, quá trang trọng, quá suồng sã, hoặc bí mật một cách kỳ lạ.
Yêu cầu từ trên trời rơi xuống — Bạn được yêu cầu làm điều gì đó mà bình thường sẽ phải qua một kênh khác.
Cách ngăn chặn một cuộc tấn công xâm phạm email doanh nghiệp
Biết cách những cuộc tấn công này hoạt động mới chỉ là một nửa cuộc chiến. Nửa còn lại là đảm bảo doanh nghiệp của bạn không phải là mục tiêu dễ bị tấn công.
Nhấc điện thoại lên
Nếu một email yêu cầu bạn chuyển tiền hoặc cập nhật thông tin thanh toán, đừng trả lời email đó. Hãy gọi trực tiếp cho người đó bằng số bạn đã có sẵn, không phải số trong email. Chỉ mất ba mươi giây, và đó là điều hiệu quả nhất bạn có thể làm.
Bật xác thực hai yếu tố
Nếu kẻ tấn công lấy được thông tin đăng nhập của ai đó, 2FA có thể ngăn chặn việc chiếm toàn bộ hộp thư đến. Nó sẽ không ngăn được mọi thứ, nhưng sẽ khiến việc xâm phạm tài khoản trở nên khó hơn đáng kể.
Hãy dạy đội ngũ của bạn thế nào là đúng chuẩn
Đào tạo thường xuyên về BEC là gì, nó hoạt động ra sao, và các dấu hiệu cảnh báo trông như thế nào có thể biến nhân viên của bạn thành một tuyến phòng thủ.
Hãy để công cụ của bạn gánh bớt phần việc nặng
Bộ lọc spam và các công cụ xác thực tên miền như SPF, DKIM, and DMARC có thể lọc các nỗ lực BEC trước khi chúng đến được đội ngũ của bạn. Phát hiện dựa trên AI còn tiến xa hơn một bước. Nó học hành vi email bình thường trong tổ chức của bạn trông như thế nào và gắn cờ bất kỳ điều gì đáng ngờ.
Câu hỏi thường gặp
Xâm phạm email doanh nghiệp là khi một tội phạm giả làm người mà bạn tin tưởng qua email để lừa bạn gửi tiền hoặc chia sẻ thông tin nhạy cảm. Kẻ tấn công gửi một email thuyết phục, mô phỏng giọng điệu của email công ty và thậm chí còn đến từ một địa chỉ email công ty.
Chúng có liên quan nhưng không giống nhau. Phishing giăng lưới rộng, gửi email chung chung đến càng nhiều người càng tốt. Các cuộc tấn công BEC thì có mục tiêu cụ thể. Kẻ tấn công nghiên cứu một công ty cụ thể, một người cụ thể, và một thời điểm cụ thể. Kết quả là mức độ thuyết phục cao hơn nhiều và thiệt hại cũng lớn hơn nhiều.
Hầu hết các vụ lừa đảo xâm phạm email doanh nghiệp đều bắt đầu bằng nghiên cứu. Kẻ tấn công tìm hiểu cấu trúc và cách giao tiếp của một công ty. Khi đã biết đủ, chúng либо giả mạo một địa chỉ email đáng tin cậy hoặc chiếm quyền một địa chỉ thật.
Lừa đảo CEO. Kẻ tấn công mạo danh một lãnh đạo cấp cao và gây áp lực buộc ai đó trong bộ phận tài chính chuyển tiền nhanh chóng. Nó hiệu quả vì đa số mọi người không chất vấn một yêu cầu khẩn cấp từ sếp.
Có. Việc bảo vệ trước xâm phạm email doanh nghiệp bắt đầu từ con người. Hãy đào tạo đội ngũ của bạn nhận biết các dấu hiệu cảnh báo, xác minh yêu cầu thanh toán qua điện thoại, và sử dụng các công cụ như 2FA và DMARC để khiến email của bạn khó bị xâm phạm hơn. Không có biện pháp đơn lẻ nào là tuyệt đối, nhưng sự kết hợp phù hợp sẽ khiến bạn trở thành mục tiêu khó tấn công hơn nhiều.
__1440x360.01kn9s6z8zcf2njg0pzkatjd26.png)

Chia sẻ suy nghĩ của bạn