Business
Email Compromise – jaki to rodzaj cyberataku i jak zabezpieczyć przed nim firmę?

Business Email Compromise – co to jest?

Business Email Compromise (BEC) to wyrafinowana metoda cyberataku, a jednocześnie jeden z najprostszych sposobów na wyłudzenie od firmy lub instytucji dużej kwoty pieniędzy. Wystarczy jedna fałszywa wiadomość. 

Ofiarą BEC często padają duże firmy i korporacje. Jak z pewnością się domyślasz, mają one bardzo dobre zabezpieczenia infrastruktury IT. 

Małe i średnie firmy też często są atakowane z użyciem BEC. Tu także nieistotny jest poziom zabezpieczeń. 

 O co więc chodzi?

Najsłabszym ogniwem każdej firmowej sieci są ludzie. Cyberprzestępcy wiedzą, w jaki sposób manipulować pracownikami, żeby móc przeprowadzić atak. I robią to skutecznie.

Według danych IBM, w 2021 roku ataki BEC okazały się najkosztowniejsze spośród wszystkich cyberataków, jakie skierowano na organizacje na całym świecie – „kosztowały” średnio 5 mln dolarów.

Na czym polega atak Business Email Compromise?

Hakerzy podszywają się pod konkretne osoby zatrudnione w firmie, wysyłając w ich imieniu fałszywe wiadomości do m.in.:

• dyrektorów działów finansowych,
• osób pełniących ważne funkcje w działach finansowych,
• przedstawicieli zespołów płatności,
• księgowych.

W kierowanych do tych osób mailach cyberprzestępcy zazwyczaj wysyłają prośby o:

• zmianę numeru rachunku do przelewu,
• uregulowanie płatności na wskazany adres.

Z pewnością myślisz, że takie wiadomości wydają się podejrzane. Ale w praktyce to nie jest takie proste, bo cyberprzestępcy wiedzą co zrobić, aby wiadomość wyglądała na wiarygodną. 

Wykorzystują do tego 3 podstawowe elementy:

1. „Prawdziwy” adres e-mail

Aby wiadomość nie budziła wątpliwości, musi być wysłana z adresu, który ofiara dobrze zna lub jest do niego do złudzenia podobny. Może to być mail dyrektora, prezesa, kogoś z kierownictwa działu lub któregoś z klientów. Bez zachowania odpowiedniej ostrożności łatwo stracić czujność. Bardziej doświadczeni oszuści mogą nawet wysłać taką wiadomość po wcześniejszym włamaniu do skrzynki nadawcy.

2. Treść i język wiadomości

Nie zwątpisz w wiarygodność maila, jeżeli nadawca pisze do ciebie w tym samym tonie, co zwykle i w dodatku porusza kwestie dobrze znane obu stronom. Hakerzy dobrze wiedzą, jak napisać taką wiadomość. 

3. Brak podejrzeń

Cyberprzestępcy orientują się w realiach pracy działów finansowych i wiedzą, że firmy prowadzące między sobą transakcje często zobowiązane są do regularnych płatności i zmian numerów rachunków bankowych. Dlatego wiadomość z prośbą o przelanie odpowiedniej sumy na wskazany numer konta wygląda całkiem naturalnie.

Z pewnością zastanawiasz się teraz, skąd cyberprzestępcy wiedzą:

• pod jaki adres się podszyć,
• do kogo wysłać wiadomość,
• jak sformułować maila,
• jak wygląda struktura organizacji,
• kim są klienci firmy.

Aby pozyskać takie dane, nie wystarczy samo zapoznanie się ze stroną główną twojej firmy. Business Email Compromise poprzedza inny rodzaj ataku – najczęściej phishing.

Najpierw phishing, potem BEC 

Phishing to zazwyczaj „wstęp” do ataku BEC. Zanim cyberprzestępca podszyje się pod przedstawiciela firmy lub kontrahenta ofiary, musi wcześniej w jakiś sposób zdobyć ich dane. Najczęściej w tym celu rozsyła zainfekowane linki w fałszywych wiadomościach lub wykonuje fałszywe połączenia telefoniczne do pracowników firmy w celu wyłudzenia dostępu do potrzebnych mu informacji.  

Warto dodać, że phishing był najpopularniejszym rodzajem cyberataków również w Polsce. Stanowił niemal 77% wszystkich incydentów obsłużonych przez CERT Polska. Liczba tego typu przypadków wzrosła o 196% r/r. W 2021 CERT odnotował aż 22 575 incydentów. To wystarczy, aby zorganizować atak BEC i narazić firmę na gigantyczne straty.  

Spójrz niżej. Zestawiliśmy dla ciebie na najgłośniejsze przykłady z kraju i ze świata. 

Najgłośniejsze ataki BEC

Ataki Business Email Compromise mogą dotyczyć firm z rozmaitych sektorów. Wśród nich są m.in. giganci branży motoryzacyjnej czy lotniczej. Hakerzy potrafią zaatakować nawet organizację non-profit!

Atak na spółkę Cenzin (Polska Grupa Zbrojeniowa)

Pod koniec 2018 roku hakerzy zaatakowali spółkę Cenzin, związaną z Polską Grupą Zbrojeniową. Cyberprzestępcy zastosowali BEC, podszywając się pod czeskiego kontrahenta. 
Jak hakerzy dokonali ataku? Wysłali fałszywą wiadomość do polskiej organizacji z informacją o zmianie konta i prośbą o przesyłanie środków na „nowy”, wskazany w mailu rachunek bankowy. 
Osoby odpowiedzialne za finanse w polskiej spółce dokonały stosownych zmian w systemie płatności i kwoty za towar od czeskiego producenta przelewano przez pewien czas na konto przestępców. W ten sposób firma straciła łącznie 4 mln złotych.

Toyota i 37 mln dolarów straty na skutek BEC

Hakerzy atakują firmy różnej wielkości, w tym działające globalnie. W 2019 roku ofiarą ataku BEC została Toyota Boshoku Corporation (producent części do samochodów koncernu Toyoty). 
Scenariusz był niemal identyczny, jak w przykładzie z Polski. Hakerzy podszyli się pod kontrahenta z zagranicy i wysłali fałszywą wiadomość do pracowników działu finansowo-księgowego, aby przelano kwotę na „nowe” konto. W ten sposób Toyota straciła 37 mln dolarów. 

FACC – strata 42 mln euro

Jeszcze większe straty wskutek ataku BEC zaliczyła kilka lat wcześniej Fischer Advanced Composite Components AG (FACC). To austriacki producent ultralekkich komponentów dla branży lotniczej. 
W 2016 roku pracownik działu finansowego FACC otrzymał fałszywego maila, wysłanego w imieniu prezesa. Wiadomość zawierała polecenie zmiany danych kontrahenta. W efekcie firma przelała 42 mln euro na konto hakerów. 

Philabundance – atak BEC na organizację non-profit

W 2021 roku ofiarą ataku BEC padł Philabundance, czyli non-profit bank żywności. Hakerzy podali się wówczas za firmę budowlaną, zajmującą się wznoszeniem budynku kuchni społecznej, mającego służyć tej organizacji. 
W ten sposób ukradli organizacji non-profit 923 533 dolarów. 

Jak chronić firmę przed atakami BEC?

Hakerzy są podstępni, dlatego warto uodpornić pracowników twojej organizacji na takie manipulacje. Cyberprzestępcy znają socjotechniki, czyli social engineering, i wiedzą jak manipulować pracownikami firmy lub organizacji, aby uzyskać dostęp do wrażliwych danych. 
Jeden ze sposobów na wzmocnienie czujności pracowników to cykliczne szkolenia z zakresu cyberbezpieczeństwa. 
Czym są takie szkolenia i jak działają? Wyjaśniamy niżej. 

Szkolenia pracowników w zakresie cyberbezpieczeństwa

• Najważniejsze – szkolenia powinny odbywać się cyklicznie. Tylko w ten sposób uzyskasz pewność, że dobre praktyki staną się nawykiem w twoim zespole.
• Aby wyrównać wiedzę na temat cyberbezpieczeństwa wśród twoich pracowników, szkolenia w firmie powinny obejmować nie tylko pracowników działu IT.
• W takim kursie powinni wziąć udział wszyscy zatrudnieni. To właśnie „szeregowi” pracownicy są na pierwszej linii ataków cyberprzestępców.
• Szkolenie możesz przeprowadzić samodzielnie, jeśli posiadasz taką wiedzę i narzędzia. Jednak lepszym pomysłem będzie skorzystanie ze wsparcia specjalistów. Znają oni sposób na skuteczne przeprowadzenie szkolenia i – co jeszcze ważniejsze – stale aktualizują wiedzę na temat najnowszych technik stosowanych przez hakerów.

Jak wygląda szkolenie pracowników w zakresie bezpieczeństwa IT?

Najlepiej działa forma warsztatów. Odbywają się one w następujący sposób:

• Zewnętrzni specjaliści badają poziom wiedzy i sposób reakcji uczestników
• Prowadzący przekazują wiedzę o właściwych reakcjach na cyberataki.
• Po części teoretycznej specjaliści sprawdzają wzrost poziomu umiejętności uczestników po szkoleniu.
• Ostatni krok to ocena skuteczności szkolenia.

Myślisz o przeprowadzeniu takich szkoleń w swojej organizacji?

Możemy ci w tym pomóc – skontaktuj się z nami!

---