Jak se bránit BEC útokům

Zpět na blog

Útoky BEC (business e-mail compromitation) v zásadě stojí na dvou hlavních technikách, kterými útočníci pronikají do organizací: jde o spoofing a útoky typu „account take-over“ čili převzetí účtu. V nedávné studii 71 % organizací přiznalo, že v uplynulém roce zaznamenalo útok BEC. Čtyřicet tři procent organizací zažilo v posledního roku měsících bezpečnostní incident, přičemž 35 % uvedlo, že více než 50 % incidentů tvoří útoky BEC/phishing. Jak proti těmto stále rostoucím útokům efektivně bojovat?

Centrum FBI pro stížnosti na internetovou kriminalitu (IC3) uvádí, že podvody typu BEC byly v roce 2020 nejdražšími kybernetickými útoky s 19 369 stížnostmi a ztrátami ve výši přibližně 1,8 miliardy dolarů. Mezi nedávné útoky BEC patří spoofingové útoky na moderátorku pořadu Shark Tank Barbaru Corcoranovou, která přišla o 380 000 dolarů; útoky na portorickou vládu, které vyústily ve ztráty ve výši 4 milionů dolarů, a japonského mediálního giganta Nikkei, který na základě pokynů v podvodném e-mailu převedl útočníkům 29 milionů dolarů.

Aby organizace úspěšně čelila útoku typu BEC, musí se zaměřit tři oblasti: zaměstnance, procesy a technologie a tyto oblasti patřičně sladit. Jak na to?

Procesy

Finanční oddělení v každé organizaci má zavedené zásady schvalování výdajů. Tato politika stanovuje jasné úrovně schvalování jakýchkoli výdajů/plateb, aby byl chráněn majetek společnosti. Všechny výdaje/platby by sice měly být součástí schváleného rozpočtu, ale tato politika poskytuje finančnímu oddělení mechanismus, který zajišťuje, že každá platba je schválena správnou osobou nebo osobami na základě částky.

V některých případech má generální ředitel nebo prezident společnosti neomezenou pravomoc, pokud jde o žádosti o platby. Kyberzločinci si to uvědomují, a proto podvrhují e-mailové účty vysoce postavených osob.

Vzhledem k současnému stavu kybernetické bezpečnosti by finanční oddělení mělo tuto politiku přehodnotit a zavést přísnější procesy. To může znamenat vyžadování vícenásobných autorizací u významných výdajů placených bankovním převodem nebo jiným kanálem, aby se zajistilo, že žádost o platbu je legitimní.

Pokud například někdo z finančního oddělení obdrží e-mail od generálního ředitele s žádostí o bankovní převod, musí administrátor zpracovávající žádost postupovat podle firemních zásad pro získání dalších schválení, včetně zasílání e-mailů na předem schválený distribuční seznam pro získání elektronických schválení spolu s telefonickým potvrzením. Částky výdajů určují, kdo může podepisovat a spolupodepisovat, a vycházet by měly z rizikového apetitu organizace, tj. z toho, kolik je společnost ochotna „ztratit“.

Lidé, kteří mají na starost péči o IT ve společnosti, by si měli promluvit s finančním oddělením a vysvětlit, jak dochází k útokům BEC a dalším spoofingovým útokům. Ideální je demonstrovat ostatním reálné příklady nedávných útoků BEC a následně provést brainstorming, co by společnost mohla udělat jinak, aby útok zmařila. Na základě těchto příkladů by finanční oddělení mělo přehodnotit stávající zásady s ohledem na riziko spoofingu a BEC. To může znamenat, že předseda představenstva, generální ředitel nebo prezident společnosti nemohou být jedinými, kteří mohou schválit významné výdaje, přičemž výše částky opět vychází z rizikového apetitu společnosti. Když je proces zásad schvalování výdajů zaveden, musí společnost zajistit, aby její zaměstnanci byli proškoleni v jejich dodržování, a to bez výjimky.

Lidé

Všichni zaměstnanci společnosti musí být proškoleni, aby věděli, jak vypadá kybernetický bezpečnostní útok, co dělat a co nedělat, a toto školení by mělo probíhat průběžně s tím, jak se prostředí kybernetické bezpečnosti vyvíjí.

Zaměstnanci finančního oddělení – nebo kdokoli, kdo je oprávněn vyplácet finanční prostředky v jakékoliv formě – by měli být proškoleni o tom, jak vypadají útoky BEC a další spoofingové útoky.

Mnoho těchto útoků má podobu e-mailů od vysoce postavených manažerů, bývají to „urgentní“ žádosti a někdy je žádost odeslána několik minut před koncem pracovní doby a vyžaduje okamžitou platbu. Díky tomuto školení a požadavku, aby všichni zaměstnanci dodržovali zásady autorizace výdajů, by společnost měla být schopna útoky BEC rozpoznat.

Řada společností si také pořizuje pojištění na pokrytí ztrát způsobených kybernetickými útoky, ale s vyplácením pojistky může být v případě BEC problém. Například obchodní společnost Virtu Financial přišla při podvodu BEC o 6,9 milionu dolarů, ale její pojišťovna Axis Insurance odmítla platit s tvrzením, že „neoprávněný přístup do počítačového systému společnosti Virtu nebyl přímou příčinou ztráty, ale ztráta byla způsobena samostatnými a intervenujícími činy zaměstnanců společnosti Virtu, kteří provedli bankovní převody, protože věřili, že podvržený e-mail s žádostí o převod finančních prostředků je legitimní“. Společnost Virtu Financial následně podala na pojišťovnu Axis stížnost za údajné porušení smlouvy tím, že odmítla poskytnout krytí kybernetického útoku.

Technologie

Pokročilá technologie kybernetické bezpečnosti nové generace může pomoci zablokovat jakoukoli e-mailovou hrozbu, včetně spamu, phishingu, útoků BEC a následných útoků, pokročilých trvalých hrozeb (APT) a útoků typu zero-day, které se zaměřují na nově objevené zranitelnosti – to vše ještě předtím, než se hrozba dostane ke koncovým uživatelům.

Mezi tyto typy řešení patří:

  • Antispamový engine, který blokuje škodlivou komunikaci pomocí antispamových filtrů a filtrů založených na reputaci.
  • Antiphishingový engine, který detekuje škodlivé adresy URL a zabraňuje jakémukoli typu phishingového útoku dříve, než se dostane ke koncovým uživatelům.
  • Antispoofingový engine, který zabraňuje útokům bez užitečného zatížení, jako je spoofing, „look-alike“ domény a klamání zobrazovaným názvem.
  • Technologie proti útoku, které detekují škodlivý skrytý obsah rekurzivním rozbalováním obsahu na menší jednotky (soubory a adresy URL), které jsou pak dynamicky kontrolovány několika enginy během několika sekund.
  • Strojová inteligence (MI) a zpracování přirozeného jazyka (NLP) pro kontrolu odchylek od normy v obsahu a kontextu, jako je identifikace neobvyklého stylu psaní, klíčových slov, která mohou znamenat škodlivou aktivitu, podezřelých IP adres, zeměpisných poloh, načasování atd.
  • Detekce pro prevenci pokročilých hrozeb a zero-day útoků.
  • Ad-hoc analýza e-mailů pro koncové uživatele, která jim umožní identifikovat podezřelé e-maily předtím, než podniknou neuvážené kroky.
  • Kontextová nápověda pro koncové uživatele k označování e-mailů pomocí přizpůsobitelných bannerů na základě zásad a pravidel poskytne koncovým uživatelům další kontextové informace a zvýší jejich povědomí o zabezpečení.

Zdroj: The Hacker News

11. 8. 2021