Jak zapobiegać atakom typu Business Email Compromise (BEC)?

Business Email Compromise (BEC) to jeden z najbardziej szkodliwych i kosztownych cyberataków na małe firmy. Według raportu FBI 2023 Internet Crime Report 2023 ataki BEC kosztowały amerykańskie firmy 2,9 miliarda dolarów w 2023 r., co czyni je drugim najkosztowniejszym cyberprzestępstwem po oszustwach inwestycyjnych (4,57 miliarda dolarów).

Według najnowszego „Raportu o dochodzeniach w sprawie naruszeń danych” w ciągu ostatniego roku liczba ataków BEC niemal się podwoiła.

Czym są i jak działają oszustwa Business Email Compromise (BEC)?

W oszustwie BEC atakujący udaje kogoś, komu ofiara powinna zaufać, np. współpracownika, szefa lub dostawcę. Może poprosić tę osobę o przelanie pieniędzy, zmianę danych dotyczących płac lub aktualizację informacji bankowych, dlatego zazwyczaj atakują pracowników działu finansowego.

Oszustwa BEC często obejmują techniki takie jak podszywanie się pod adresy e-mail lub tworzenie domen podobnych do siebie i są trudne do wykrycia, ponieważ nie zawsze używają złośliwego oprogramowania lub szkodliwych linków, które mogą wykryć standardowe narzędzia bezpieczeństwa. Zamiast tego polegają na udawaniu kogoś innego i oszukiwaniu ludzi za pomocą manipulacji.

W pokrewnym typie ataku zwanym EAC (Email Account Compromise) atakujący przejmuje kontrolę nad prawdziwym kontem e-mail. Następnie używa tego konta do przeprowadzania podobnych oszukańczych działań, stając się w efekcie zaufaną osobą, pod którą się podszywa.

Ponieważ zarówno BEC, jak i EAC wykorzystują ludzkie słabości, a nie problemy techniczne, zapobieganie tym atakom, ich wykrywanie i reagowanie na nie wymaga strategii skoncentrowanych na ludziach i ich interakcjach.

Rodzaje zagrożeń dla poczty e-mail firmowej

Istnieje pięć głównych typów oszustw BEC:

1. Oszustwo CEO: W tym typie oszustwa atakujący podszywają się pod CEO firmy lub wysoko postawionego dyrektora. Zazwyczaj wysyłają wiadomość e-mail do kogoś z działu finansowego, prosząc o przelew pieniędzy na konto kontrolowane przez oszustów.
2. Włamanie na konto: Konto e-mail pracownika zostaje zhakowane i użyte do wysyłania fałszywych żądań płatności do dostawców. Pieniądze trafiają na konta bankowe atakujących, a nie do legalnego dostawcy.
3. Oszustwo z fałszywą fakturą: Oszuści podszywają się pod dostawcę i oszukują firmy, nakłaniając je do przelewania środków na fałszywe konta, myśląc, że płacą prawdziwą fakturę.
4. Podszywanie się pod prawnika: Oszuści podszywają się pod prawników lub przedstawicieli prawnych, często obierając sobie za cel pracowników niższego szczebla, którzy mogą nie kwestionować zasadności prośby.
5. Kradzież danych: Te ataki są skierowane do pracowników HR w celu kradzieży danych osobowych lub poufnych o liderach firmy, takich jak CEO i dyrektorzy. Dane te są często wykorzystywane w innych oszustwach, takich jak oszustwo CEO.

Przykład próby phishingu wykrytej przez badaczy z Bitdefender Antispam Lab

Oszuści podszywali się pod Holenderską Izbę Handlową (KVK), aby kraść dane osobowe właścicieli firm. Twierdzili, że firma odbiorcy nie jest już wymieniona jako aktywna i poprosili odbiorcę o zaktualizowanie danych poprzez wypełnienie formularza.

W e-mailu fałszywie stwierdzono: „Musimy potwierdzić, że firmy wymienione w rejestrze handlowym są nadal aktywne. Twoja firma nie jest już uznawana za aktywną według organów podatkowych. Jeśli uważasz, że to błąd, zaktualizuj swoje dane w ciągu 3 dni roboczych.”

Odbiorcy zostali poproszeni o podanie danych osobowych, takich jak imię i nazwisko, nazwa firmy, adres, numery telefonów, adres e-mail i data urodzenia. Oszuści mogli wykorzystać te informacje, aby lepiej namierzyć i oszukać właściciela firmy.

Jak BEC może wpłynąć na bardzo małą firmę?

Straty finansowe. Ataki BEC mogą prowadzić do znacznych strat finansowych, jeśli oszuści oszukują pracowników lub właścicieli małych firm, aby dokonywali nieautoryzowanych przelewów pieniężnych lub ujawniali poufne informacje finansowe.

Utrata reputacji. Reputacja małej firmy może zostać poważnie nadszarpnięta, jeśli padnie ofiarą oszustwa BEC. Klienci i partnerzy mogą stracić zaufanie do zdolności firmy do bezpiecznego przetwarzania poufnych informacji, co może prowadzić do utraty klientów lub kontraktów. Odbudowa zniszczonej reputacji może być trudna i czasochłonna.

Zakłócenie operacji. Ataki BEC mogą zakłócić codzienne operacje. Na przykład, jeśli atak obejmuje przekierowanie listy płac lub zakłócenie transakcji, może to spowodować opóźnienia w płatnościach pracowników lub transakcjach biznesowych. Może to wpłynąć na morale pracowników i prowadzić do nieefektywności operacyjnej.

Kwestie prawne i  niezgodności z NIS2. Radzenie sobie ze skutkami ataku BEC może wiązać się z kosztami prawnymi i problemami zgodności z NIS2. Firma może musieć zgłosić incydent władzom, zająć się roszczeniami prawnymi lub ponieść kary regulacyjne, jeśli poufne dane zostaną ujawnione lub niewłaściwie obsłużone.

Obniżone morale pracowników. Pracownicy mogą czuć się zestresowani lub zdemotywowani, jeśli dojdzie do ataku BEC. Mogą zostać poddani dodatkowej kontroli lub muszą poradzić sobie z konsekwencjami oszustwa, co może wpłynąć na ich produktywność i ogólną satysfakcję z pracy.

Zwiększone koszty. Po ataku BEC mała firma może zostać zmuszona do inwestowania w ulepszone środki bezpieczeństwa, takie jak zaawansowane systemy filtrowania wiadomości e-mail, systemy antywirusowe, szkolenia z zakresu cyberbezpieczeństwa dla personelu i bardziej niezawodne procesy uwierzytelniania. W przypadku małej firmy o ograniczonych zasobach inwestowanie w bezpieczeństwo przed atakiem, a nie po nim, może zaoszczędzić dużo pieniędzy.

Czerwone flagi, na które należy zwrócić uwagę w kontekście ataków Business Email Compromise

Przeszkol swój zespół tak, aby potrafił rozpoznawać poniższe sygnały ostrzegawcze w podejrzanych wiadomościach e-mail:

Dziwne prośby od dyrektorów: Zachowaj ostrożność, jeśli wysoko postawiony dyrektor poprosi o nietypowe informacje, takie jak szczegółowe zapisy pracowników. Nieczęsto zdarza się, aby dyrektorzy generalni bezpośrednio prosili o takie szczegóły.

Prośby o zachowanie poufności: Oszuści często proszą o zachowanie ich próśb w tajemnicy lub o komunikowanie się wyłącznie za pośrednictwem poczty e-mail. Uważaj na takie żądania.

Omijanie normalnych procedur: Jeśli dyrektor w wiadomości e-mail poprosi Cię o ominięcie zwykłych procesów Twojej firmy, takich jak szybki przelew bankowy, zachowaj podejrzliwość. Uzasadnione prośby powinny być zgodne ze standardowymi procedurami.

Problemy związane z dziwnym językiem i formatowaniem: Uważaj na wiadomości e-mail z dziwnymi formatami dat lub niezręcznym językiem. Mogą to być oznaki, że wiadomość e-mail nie jest autentyczna.

Niezgodne adresy e-mail: Sprawdź, czy adres e-mail lub adres „Odpowiedz do” pasuje do oczekiwanego nadawcy. Oszuści często używają adresów e-mail, które wyglądają podobnie do prawdziwych, aby oszukać odbiorców.

Jak zapobiegać atakom typu Business Email Compromise (BEC)?

Ataki BEC często polegają na inżynierii społecznej i taktyce phishingu. Oto jak chronić swoją firmę:

Edukuj swoich pracowników, aby zwiększyć poziom cyberbezpieczeństwa: Naucz ich, jak identyfikować zagrożenia Business Email Compromise (BEC), rozpoznawać fałszywe wiadomości i taktyki oszustw oraz zachęcaj ich do uważnego przeglądania wszelkich nietypowych próśb. Podaj rzeczywiste przykłady wiadomości BEC i phishingowych i zapoznaj ich z Bitdefender Scamio, czyli bezpłatnym chatbotem opartym na sztucznej inteligencji, który wykryje większość oszustw internetowych.

Używaj silnych i unikalnych haseł: Upewnij się, że Twoje hasła służbowe różnią się od Twoich osobistych. Jeśli hakerzy zdobędą Twoje hasła służbowe, mogą spróbować uzyskać dostęp również do Twoich kont osobistych i odwrotnie.

Aktualizuj środki bezpieczeństwa: Upewnij się, że Twoi pracownicy są przeszkoleni w zakresie najnowszych praktyk cyberbezpieczeństwa i że korzystasz z aktualnego oprogramowania antywirusowego, w tym filtrów poczty e-mail i narzędzi antyspamowych.

Włącz uwierzytelnianie wieloskładnikowe (MFA): MFA dodaje dodatkową warstwę zabezpieczeń, powiadamiając Cię o wszelkich nieautoryzowanych próbach logowania.

Zachowaj ostrożność w przypadku próśb o podanie poufnych informacji: Zachowaj ostrożność w przypadku wiadomości e-mail zawierających prośbę o podanie poufnych informacji, zwłaszcza jeśli pochodzą one od nieznanych Ci kontaktów.

Rozważ model zabezpieczeń Zero Trust: To podejście wymaga uwierzytelniania przy każdym żądaniu dostępu do zasobów online, niezależnie od tego, czy żądanie pochodzi z wewnątrz czy z zewnątrz Twojej organizacji.

Pobierz Bitdefender Total Security: To najlepszy w swojej klasie program antywirusowy z ochroną przed oszustwami, wyłudzeniami, pocztą e-mail, naruszeniami. Zabezpieczenie tych obszarów może znacznie zmniejszyć szanse stania się ofiarą jakichkolwiek ataków.

Co zrobić, jeśli podejrzewasz, że Twój adres e-mail został naruszony?

Jeśli podejrzewasz, że Twoja firmowa poczta e-mail została naruszona, natychmiast podejmij następujące kroki:

Zmień hasło do swojego konta e-mail: Zrób to jak najszybciej, aby zapobiec dalszemu nieautoryzowanemu dostępowi.

Zabezpiecz swoje urządzenie za pomocą uwierzytelniania wieloskładnikowego: Upewnij się, że Twoje urządzenie ma włączone uwierzytelnianie wieloskładnikowe.

Przejrzyj wysłane i usunięte wiadomości e-mail: Sprawdź te foldery pod kątem podejrzanych wiadomości e-mail lub kontaktów.

Zaktualizuj informacje dotyczące odzyskiwania konta: Twoje dane dotyczące odzyskiwania konta również mogą zostać naruszone, dlatego należy je zaktualizować.

Uruchom skanowanie antywirusowe: Sprawdź, czy na urządzeniu nie zostało zainstalowane złośliwe oprogramowanie.

Zgłoś incydent: Powiadom swojego dostawcę poczty e-mail o naruszeniu, a także odpowiednie organy.

Jak możesz spróbować odzyskać pieniądze utracone w ataku BEC?

Odzyskanie pieniędzy utraconych w wyniku ataku typu Business Email Compromise (BEC) może być trudne, ale istnieją kroki, które możesz podjąć, aby spróbować odzyskać środki lub zminimalizować szkody:

• Skontaktuj się ze swoim bankiem lub instytucją finansową: Powiadom swój bank lub instytucję, do której przelano środki, tak szybko, jak to możliwe. Mogą być w stanie cofnąć transakcję, jeśli nie została ona w pełni przetworzona lub udzielić porady, jak postępować.
• Zgłoś incydent: Złóż raport organom ścigania, takim jak lokalna policja, lub CERT Polska. Podanie szczegółowych informacji o ataku może pomóc w dochodzeniach i działaniach naprawczych.
• Powiadom swojego dostawcę poczty e-mail: Poinformuj swojego dostawcę usług poczty e-mail o naruszeniu. Może on mieć dodatkowe zasoby lub wskazówki dotyczące rozwiązania sytuacji i potencjalnego odzyskania utraconych środków.
• Zaangażuj eksperta ds. cyberbezpieczeństwa: Skonsultuj się z ekspertem ds. cyberbezpieczeństwa lub zespołem reagowania na incydenty. Mogą pomóc ocenić naruszenie, zabezpieczyć systemy i pomóc w zbadaniu straty finansowej.
• Skontaktuj się ze swoim ubezpieczycielem: Jeśli Twoja firma ma ubezpieczenie cybernetyczne, skontaktuj się ze swoim ubezpieczycielem, aby zgłosić stratę. Cybernetyczne polisy ubezpieczeniowe cybernetyczne obejmować straty finansowe wynikające z ataków BEC.
• Śledź i dokumentuj wszystko: Prowadź szczegółowe zapisy wszystkich komunikatów i działań podjętych w związku z incydentem. Ta dokumentacja może być kluczowa dla dochodzeń i wszelkich potencjalnych procesów odzyskiwania.

Chociaż te kroki mogą zwiększyć Twoje szanse na odzyskanie utraconych środków, sukces nie jest gwarantowany. Zapobieganie i silne środki bezpieczeństwa to najlepsze sposoby ochrony Twojej firmy przed przyszłymi atakami.