17/08/2022

Business
Email Compromise – jaki to rodzaj cyberataku i jak zabezpieczyć przed nim firmę?


Business Email Compromise (BEC) to rodzaj ataku, który może wpędzić twoją firmę w poważne kłopoty finansowe. Firmy na całym świecie traciły milionowe kwoty w wyniku manipulacji hakerów. Zagrożenie może dotyczyć również twojego biznesu – podpowiemy ci, jak możesz go chronić.

1.Czym jest atak Business Email Compromise (BEC)?
2.Na czym polega?
3.Najgłośniejsze ataki BEC w ostatnim czasie
4.Jak chronić firmę przed atakami BEC?
5.Jak wyglądają szkolenia pracowników w zakresie cyberbezpieczeństwa?

Business Email Compromise – co to jest?
Business Email Compromise (BEC) to wyrafinowana metoda cyberataku, a jednocześnie jeden z najprostszych sposobów na wyłudzenie od firmy lub instytucji dużej kwoty pieniędzy. Wystarczy jedna fałszywa wiadomość. 
Ofiarą BEC często padają duże firmy i korporacje. Jak z pewnością się domyślasz, mają one bardzo dobre zabezpieczenia infrastruktury IT. 
Małe i średnie firmy też często są atakowane z użyciem BEC. Tu także nieistotny jest poziom zabezpieczeń. 
 O co więc chodzi?
Najsłabszym ogniwem każdej firmowej sieci są ludzie. Cyberprzestępcy wiedzą, w jaki sposób manipulować pracownikami, żeby móc przeprowadzić atak. I robią to skutecznie.
Według danych IBM, w 2021 roku ataki BEC okazały się najkosztowniejsze spośród wszystkich cyberataków, jakie skierowano na organizacje na całym świecie – „kosztowały” średnio 5 mln dolarów.
Na czym polega atak Business Email Compromise?
Hakerzy podszywają się pod konkretne osoby zatrudnione w firmie, wysyłając w ich imieniu fałszywe wiadomości do m.in.:
  • dyrektorów działów finansowych,
  • osób pełniących ważne funkcje w działach finansowych,
  • przedstawicieli zespołów płatności,
  • księgowych.
W kierowanych do tych osób mailach cyberprzestępcy zazwyczaj wysyłają prośby o:
  • zmianę numeru rachunku do przelewu,
  • uregulowanie płatności na wskazany adres.
Z pewnością myślisz, że takie wiadomości wydają się podejrzane. Ale w praktyce to nie jest takie proste, bo cyberprzestępcy wiedzą co zrobić, aby wiadomość wyglądała na wiarygodną. 
Wykorzystują do tego 3 podstawowe elementy:
  1. „Prawdziwy” adres e-mail
Aby wiadomość nie budziła wątpliwości, musi być wysłana z adresu, który ofiara dobrze zna lub jest do niego do złudzenia podobny. Może to być mail dyrektora, prezesa, kogoś z kierownictwa działu lub któregoś z klientów. Bez zachowania odpowiedniej ostrożności łatwo stracić czujność. Bardziej doświadczeni oszuści mogą nawet wysłać taką wiadomość po wcześniejszym włamaniu do skrzynki nadawcy.
  1. Treść i język wiadomości
Nie zwątpisz w wiarygodność maila, jeżeli nadawca pisze do ciebie w tym samym tonie, co zwykle i w dodatku porusza kwestie dobrze znane obu stronom. Hakerzy dobrze wiedzą, jak napisać taką wiadomość. 
  1. Brak podejrzeń
Cyberprzestępcy orientują się w realiach pracy działów finansowych i wiedzą, że firmy prowadzące między sobą transakcje często zobowiązane są do regularnych płatności i zmian numerów rachunków bankowych. Dlatego wiadomość z prośbą o przelanie odpowiedniej sumy na wskazany numer konta wygląda całkiem naturalnie.
Z pewnością zastanawiasz się teraz, skąd cyberprzestępcy wiedzą:
  • pod jaki adres się podszyć,
  • do kogo wysłać wiadomość,
  • jak sformułować maila,
  • jak wygląda struktura organizacji,
  • kim są klienci firmy.
Aby pozyskać takie dane, nie wystarczy samo zapoznanie się ze stroną główną twojej firmy. Business Email Compromise poprzedza inny rodzaj ataku – najczęściej phishing.
Najpierw phishing, potem BEC 

Phishing to zazwyczaj „wstęp” do ataku BEC. Zanim cyberprzestępca podszyje się pod przedstawiciela firmy lub kontrahenta ofiary, musi wcześniej w jakiś sposób zdobyć ich dane. Najczęściej w tym celu rozsyła zainfekowane linki w fałszywych wiadomościach lub wykonuje fałszywe połączenia telefoniczne do pracowników firmy w celu wyłudzenia dostępu do potrzebnych mu informacji.  

Warto dodać, że phishing był najpopularniejszym rodzajem cyberataków również w Polsce. Stanowił niemal 77% wszystkich incydentów obsłużonych przez CERT Polska. Liczba tego typu przypadków wzrosła o 196% r/r. W 2021 CERT odnotował aż 22 575 incydentów. To wystarczy, aby zorganizować atak BEC i narazić firmę na gigantyczne straty.  

Spójrz niżej. Zestawiliśmy dla ciebie na najgłośniejsze przykłady z kraju i ze świata. 
Najgłośniejsze ataki BEC
Ataki Business Email Compromise mogą dotyczyć firm z rozmaitych sektorów. Wśród nich są m.in. giganci branży motoryzacyjnej czy lotniczej. Hakerzy potrafią zaatakować nawet organizację non-profit!

Atak na spółkę Cenzin (Polska Grupa Zbrojeniowa)

Pod koniec 2018 roku hakerzy zaatakowali spółkę Cenzin, związaną z Polską Grupą Zbrojeniową. Cyberprzestępcy zastosowali BEC, podszywając się pod czeskiego kontrahenta. 
Jak hakerzy dokonali ataku? Wysłali fałszywą wiadomość do polskiej organizacji z informacją o zmianie konta i prośbą o przesyłanie środków na „nowy”, wskazany w mailu rachunek bankowy. 
Osoby odpowiedzialne za finanse w polskiej spółce dokonały stosownych zmian w systemie płatności i kwoty za towar od czeskiego producenta przelewano przez pewien czas na konto przestępców. W ten sposób firma straciła łącznie 4 mln złotych.

Toyota i 37 mln dolarów straty na skutek BEC

Hakerzy atakują firmy różnej wielkości, w tym działające globalnie. W 2019 roku ofiarą ataku BEC została Toyota Boshoku Corporation (producent części do samochodów koncernu Toyoty). 
Scenariusz był niemal identyczny, jak w przykładzie z Polski. Hakerzy podszyli się pod kontrahenta z zagranicy i wysłali fałszywą wiadomość do pracowników działu finansowo-księgowego, aby przelano kwotę na „nowe” konto. W ten sposób Toyota straciła 37 mln dolarów. 

FACC – strata 42 mln euro

Jeszcze większe straty wskutek ataku BEC zaliczyła kilka lat wcześniej Fischer Advanced Composite Components AG (FACC). To austriacki producent ultralekkich komponentów dla branży lotniczej. 
W 2016 roku pracownik działu finansowego FACC otrzymał fałszywego maila, wysłanego w imieniu prezesa. Wiadomość zawierała polecenie zmiany danych kontrahenta. W efekcie firma przelała 42 mln euro na konto hakerów. 

Philabundance – atak BEC na organizację non-profit

W 2021 roku ofiarą ataku BEC padł Philabundance, czyli non-profit bank żywności. Hakerzy podali się wówczas za firmę budowlaną, zajmującą się wznoszeniem budynku kuchni społecznej, mającego służyć tej organizacji. 
W ten sposób ukradli organizacji non-profit 923 533 dolarów. 
Jak chronić firmę przed atakami BEC?
Hakerzy są podstępni, dlatego warto uodpornić pracowników twojej organizacji na takie manipulacje. Cyberprzestępcy znają socjotechniki, czyli social engineering, i wiedzą jak manipulować pracownikami firmy lub organizacji, aby uzyskać dostęp do wrażliwych danych. 
Jeden ze sposobów na wzmocnienie czujności pracowników to cykliczne szkolenia z zakresu cyberbezpieczeństwa. 
Czym są takie szkolenia i jak działają? Wyjaśniamy niżej. 
Szkolenia pracowników w zakresie cyberbezpieczeństwa
  • Najważniejsze – szkolenia powinny odbywać się cyklicznie. Tylko w ten sposób uzyskasz pewność, że dobre praktyki staną się nawykiem w twoim zespole.
  • Aby wyrównać wiedzę na temat cyberbezpieczeństwa wśród twoich pracowników, szkolenia w firmie powinny obejmować nie tylko pracowników działu IT.
  • W takim kursie powinni wziąć udział wszyscy zatrudnieni. To właśnie „szeregowi” pracownicy są na pierwszej linii ataków cyberprzestępców.
  • Szkolenie możesz przeprowadzić samodzielnie, jeśli posiadasz taką wiedzę i narzędzia. Jednak lepszym pomysłem będzie skorzystanie ze wsparcia specjalistów. Znają oni sposób na skuteczne przeprowadzenie szkolenia i – co jeszcze ważniejsze – stale aktualizują wiedzę na temat najnowszych technik stosowanych przez hakerów.
Jak wygląda szkolenie pracowników w zakresie bezpieczeństwa IT?
Najlepiej działa forma warsztatów. Odbywają się one w następujący sposób:
  • Zewnętrzni specjaliści badają poziom wiedzy i sposób reakcji uczestników
  • Prowadzący przekazują wiedzę o właściwych reakcjach na cyberataki.
  • Po części teoretycznej specjaliści sprawdzają wzrost poziomu umiejętności uczestników po szkoleniu.
  • Ostatni krok to ocena skuteczności szkolenia.

Ważne!

Jednym ze sposobów na sprawdzenie umiejętności zdobytych przez pracowników twojej firmy jest… przeprowadzenie symulowanego ataku.

Specjaliści wyślą im fałszywe wiadomości z linkiem lub będą dzwonić, podszywając się pod klienta lub kogoś z zarządu twojej organizacji.

Reakcje będą omawiane pod koniec szkolenia, w celu utrwalenia wiedzy twoich pracowników i oceny jego skuteczności.

Myślisz o przeprowadzeniu takich szkoleń w swojej organizacji?

Możemy ci w tym pomóc – skontaktuj się z nami!



Udostępnij:

Realizacja Happy Business

© 2022 | Sprint S.A. Wszystkie prawa zastrzeżone.