Za četným výskytem BEC útoků je částečně hromadný přechod na home office. Přitom obrana proti této hrozbě není tak složitá, jak by se mohlo zdát.
Jak k napadení dochází?
Jde o napadení firemních účtů a vydávání se nejčastěji za nadřízeného nebo za jiné osoby spojené s chodem firmy (například za externí zaměstnance, prodejce či právníky). Útočník se po úspěšném kompromitování e-mailu snaží ze zaměstnanců vylákat peníze. Zpravidla se pokouší o peněžní převod na svůj účet. Může se ale také pokoušet ukrást důležité údaje o zaměstnancích, získávat benefitní poukazy, nabourávat další firemní účty a manipulovat s obsahem e-mailových schránek. Hacker tak může třeba zneužít vyplácení reálných faktur tím, že na nich zamění číslo účtu za své. Firmy mohou takhle lehce přijít kvůli podvodným e-mailům o miliony.
Jak se proti útokům bránit?
Hackeři nasazují BEC pomocí malwaru, často ale také útočí formou sociálního inženýrství. Útočník působí seriózně a důvěryhodně. Na útok může být dobře připravený a mít o firmě zjištěné podstatné informace. V takovém případě uživatelům nepomůže antivirus ani ochrana proti spamu, protože BEC e-mail neobsahuje žádný škodlivý kód. Bezpečnostní programy takové e-maily nedokážou rozeznat od těch normálních, proto je nutné při jakémkoliv podezření provést kontrolu.
Útok většinou vypadá takto:
- E-mail je obvykle zdánlivě napsán nadřízenou osobou nebo autoritativním stylem.
- V souvislosti s tím cílí na zaměstnance na nižších postech.
- Často se snaží navodit stav urgence. Útočník požaduje vyplacení faktury co nejrychleji a vyvíjí patřičný psychický nátlak.
- Škodlivý e-mail často přichází na konci pracovní doby nebo na začátku pracovního týdne, kdy se předpokládá, že oběť nebude mít čas pořádně e-mail zkontrolovat.
- Varovat může e-mailová adresa útočníka. Vyplatí se proto věnovat zvýšenou pozornost nefiremním adresám a účtům zdarma.
Vzhledem k vynalézavosti hackerů se nevyplatí spoléhat pouze na kontrolování e-mailů, které se zdají být od pohledu podezřelé. Nejlepší obranou je dodržovat určitá pravidla, provádět pravidelné kontroly a školit zaměstnance. Také je dobré nepředpokládat, že podvodné e-maily chodí napsané jen lámanou češtinou a angličtinou. Stát se obětí podvodu, obzvláště pokud firma pravidelně komunikuje s anglicky hovořícími klienty, je o to jednodušší.
Tipy proti BEC
- Kontrolovat e-mailové adresy odesílatelů.
- Dbát na to, aby všichni zaměstnanci měli placenou firemní e-mailovou schránku.
- Využívat dvoufázové ověření.
- Neotvírat e-maily od neznámých odesílatelů.
- Registrovat domény, jejichž názvy jsou podobné tomu firemnímu.
- Využívat ochranu DMARC, která slouží k validaci e-mailových zpráv.
- Využívat anti-phishingový software, který dokáže rozeznat a zablokovat phishingové útoky.
- Školit zaměstnance o bezpečnosti a práci s e-mailovou schránkou.
- Pozorně kontrolovat obsah přijatých zpráv a ověřovat si informace.
- Nechat si vykonávání platby potvrzovat ještě další osobou.
- Před placením urgentních faktur telefonicky (nebo jinak než přes e-mail) kontaktovat odesílatele nebo jinou osobu z firmy, kterou zastupuje.
- Požadovat od odesílatele digitální podpis při důležitých požadavcích.
- Věnovat pozornost informacím, které firma sdílí na sociálních sítích. Příliš konkrétní informace může útočníkovi pomoci zvýšit důvěryhodnost.
- Na e-maily neodpovídat, ale přeposílat je. Při přeposílání je nutné napsat správnou e-mailovou adresu nebo ji vybrat z adresáře. V případě odpovídaní se adresa nemusí zadávat, což může vést k tomu, že si příjemce nemusí všimnout trochu jiné podoby adresy odesílatele.
- Udržovat kontakt se zaměstnanci, partnery, klienty apod. Zvyšuje se tak možnost, že příjemce snáze pojme podezření při změně chování druhé strany.
Při úspěšném útoku je těžké získat peníze nazpět. Po útočníkovi se těžko pátrá, při jeho nalezení se škoda špatně vymáhá. Bohužel neexistuje dlouhodobá spolehlivá ochrana, která vám zaručí, že se vám BEC útoky vyhnou. Navíc některé způsoby ochrany nejsou levné či praktické. Nejlepším způsobem je tak obezřetnost, informovanost a dodržování základních pravidel.