Rybak: Polskie firmy muszą być gotowe na cyberataki przez maile

4 sierpnia 2016, 07:30 Bezpieczeństwo
HakerKomputer

KOMENTARZ

Michał Rybak

były funkcjonariusz Agencji Wywiadu

Szef Kancelarii Bezpieczeństwa Rybak

Przestępcy podszywają się pod dyrektora generalnego, bądź inną osobę pełniącą ważne funkcje w firmie lub jej kontrahenta i wykorzystują przybraną tożsamość do nakłonienia pracowników do wykonania określonego zadania, transferu środków lub przekazania informacji. Takie przejęcie kanałów komunikacyjnych przez osoby trzecie lub podszywające się, mogą być elementem mechanizmu ataków BEC (Business email compromise).

To wyrafinowane, rzetelnie i długo przygotowywane przekręty wymierzone przeciwko podmiotom gospodarczym regularnie dokonującym transfery finansowe lub pracującym z zagranicznymi partnerami. Ataki BEC opierają się głównie na wiadomościach email mających skłonić (m.in. dzięki metodom socjotechnicznym) ich odbiorców do dokonania transferu środków. Oszuści wykorzystują również rozmowy telefoniczne lub faks.

Zanim jednak dojdzie do właściwego kontaktu przestępcy zbierają informacje o firmie, która będzie celem ataku. Rekonesans prowadzi się nie tylko na firmowej stronie internetowej oraz w publikacjach medialnych, ale również na prywatnych profilach pracowników w mediach społecznościowych. Istotne są również informacje o kontrahentach i publikowane przez nich.

Dopiero po zebraniu informacji, określa się osobę lub grupę, która będzie celem ataku. O nich trzeba zebrać jak najwięcej danych, na nich skupia się główna uwaga oszustów. Nie jest przesadą stwierdzenie, że ludzie-pracownicy są zarówno najsilniejszą jak i najsłabszą stroną bezpieczeństwa firmy.

Celem ataków BEC jest zlecenie transferu pieniędzy przez metodę najczęściej wykorzystywaną w przedsiębiorstwie. W przypadku polskich firm są to przelewy między bankowe. Jednak pośród opisanych przypadków wyłudzenia znajdują się również inne sposoby transferu środków.

Dobrze przygotowane, trudne do rozpoznania i coraz częstsze

Trudność w rozpoznawaniu takich wiadomości sprawia fakt, że wyglądają one realistycznie. Przestępcy dbają o szczegóły. Wiadomości mają wyglądać jak pochodzące od przełożonego lub współpracownika, mają stopkę, logo firmy i są dopasowane kolorystycznie. Wiadomości są pisane językiem używanym w organizacji, mogą zawierać elementy żargonu a nawet błędy typowe dla nadawcy. To nie jest kolejny nigeryjski przekręt i email pisany przy pomocy internetowego słownika, to wyrafinowana i dobrze przygotowana metoda ataku przeciwko dokładnie wybranym i rozpoznanym celom.

Przypadki ataków BEC ujawniono nie tylko na terenie Stanów Zjednoczonych Ameryki, ale również w ponad 100 innych państwach, w tym w Polsce. Nie są to niszowe zdarzenia, a przypadku tego typu były opisywane w mediach. Między majem 2013 r. a czerwcem 2016 r. ataki takie dotknęły ponad 22 tys. ofiar na całym świecie a wartość strat przekroczyła 3 miliardy dolarów. Najnowszym trendem pośród ataków BEC oprócz kradzieży środków finansowych są kradzieże danych, które są trudniej rozpoznawalne przez ofiary.

Ataki BEC dotyczą przedsiębiorstw wszystkich rozmiarów, ich ilość wzrasta a metody są ciągle udoskonalane, wskazuje FBI..amerykańskie Federalne Biuro Śledcze. Prognozuje się wzrost popularności tej metody ataków przeciwko polskim firmom.

Dotychczas wyróżniono cztery najczęstsze metody ataków. Zaobserwowano również nowy typ ataku, skierowany na kradzież danych, które dopiero później są monetyzowane.

Metoda 1 – Przelew dla partnera biznesowego

W tego typu atakach wykorzystuje się realną relację biznesową między podmiotami. W wyniku kontaktu telefonicznego, za pośrednictwem faksu lub adresu email, pojawia się prośba o opłacenie faktury. W komunikacji wykorzystuje się adresy email łudząco podobne do adresu firmy partnera lub używa się wiadomości o zmienionych nagłówkach, tak żeby wyglądały jak email od znanej osoby lub podmiotu. Metoda jest wykorzystywana głównie wobec podmiotów, które mają znaczne ilości transakcji lub gdy przestępcy wiedzą o nadchodzącej potrzebie płatności.

Metoda 2 – Metoda na prezesa

Skrzynka pocztowa prezesa (lub dyrektora czy innego pracownika wysokiego szczebla w organizacji) zostaje przejęta przez oszustów lub modyfikują oni nagłówki wiadomości tak, żeby ofiara myślała, że otrzymuje wiadomość od w/w osoby. Wiadomość zawiera polecenie pilnego wykonania transferu środków. Polecenie kierowane jest do osoby, której zakres obowiązków zakłada podobne czynności. Wiadomość może zawierać dodatkowe uzasadnienie dla pominięcia procedur. Skuteczność metody polega na przekonaniu, że pracownik nie będzie potwierdzał zlecenia przełożonego. Dodatkowym zabezpieczeniem stosowanym przez oszustów jest wykorzystanie sytuacji, gdy kontakt z przełożonym jest utrudniony.

Metoda 3 – Korespondencja z przejętego adresu email pracownika

Oszuści uzyskują dostęp do adresu email ofiary, pracownika organizacji. Może to być adres prywatny, wykorzystywany do służbowej komunikacji. Z tak przejętej skrzynki prośba o transfer środków kierowana jest do osoby (lub osób) z książki adresowej, które są faktycznym celem ataku. Ofiara może nie być świadoma próby wyłudzenia do czasu osobistego kontaktu z właścicielem przejętej skrzynki.

Metoda 4 – Podszycie się pod kancelarię

Oszuści kontaktują się z ofiarami podszywając się pod adwokata, radcę prawnego lub kancelarię. W tym modelu najczęściej pojawia się zgodna ze specyfiką zawodu potrzeba zachowania poufności kontaktu i pilności sprawy. Kontakt z ofiarą może nastąpić nie tylko przy udziale poczty email, ale również za pośrednictwem telefonu.

Metoda 5 – Kradzież danych (nowy typ ataków!)

Oszuści po uzyskaniu dostępu do skrzynki pracownika firmy lub wykorzystując adres podmiotu zewnętrznego (może być łudząco podobny) wysyłają prośbę nie o przekazanie środków, ale o przekazanie danych. Większość pracowników, nawet po przejściu szkolenia zwiększającego świadomość zagrożeń, gdzie omawiane były powszechne ataki BEC, nie rozpoznaje w takim kontakcie możliwości wyłudzenia. W ten sposób, zdecydowanie łatwiej, można pozyskać informacje, które dopiero na kolejnym etapie są monetyzowane.

Pośród polskich podmiotów nie spotkaliśmy dotychczas podobnego modelu działań prowadzonego przez lub na zlecenie innych podmiotów niż nieuczciwa konkurencja. Przeciwnik dla uwiarygodnienia się w kontakcie może udawać lub powoływać się na instytucje państwowe np. Główny Urząd Statystyczny, Najwyższą Izbę Kontroli, a nawet kontrolę skarbową, policję czy służby specjalne.

Dobre praktyki pracowników dla ochrony przed metodą ataków BEC

  • Nie trać czujności przy rutynowych czynnościach, wykazuj ostrożność przy zdarzeniach nietypowych.
  • Zachowaj ostrożność w mediach społecznościowych, informacje o zakresie obowiązków i strukturze firmy umieszczaj świadomie, zwłaszcza w serwisie LinkedIn.
  • Bądź czujny podczas rozmów z nieznanymi osobami lub tymi, co do których tożsamości nie masz pewności.
  • Ograniczaj używanie prywatnego sprzętu lub skrzynki email do spraw służbowych.
  • Zachowaj szczególną ostrożność przy prośbach o opłacenie faktury lub transfer środków wysyłanych za pośrednictwem poczty email. Zwłaszcza tych z wskazaniem na potrzebę pilnej realizacji lub ponagleniem i poufnością.
  • Zwracaj uwagę na wygląd adresów email, z których dostajesz prośby o przelew.
  • Zwróć uwagę również na dodatkowe informacje uzyskane podczas kontaktu jak np. numer telefonu, odbiegający od normy ton kontaktu czy wygląd stopki w meilu.
  • Stosuj kilkuetapową weryfikację transakcji. Jeśli masz wątpliwości, to potwierdzaj potrzebę transferu środków telefonicznie lub w bezpośredniej rozmowie.
  • Potwierdzając prawdziwość kontaktu użyj znanego wcześniej numeru telefonu lub innego adresu email niż ten, z którego przyszła wiadomość.