Útoky Business Email Compromise (BEC) se v posledních letech staly jedněmi z finančně nejvýznamnějších kybernetických útoků. Staly se tak významnými zejména proto, že využívají lidských zranitelností a obcházejí tradiční bezpečnostní opatření, což vede ke značným finančním ztrátám organizací. Jen v roce 2022 vedly BEC útoky, podle FBI, ke ztrátám ve výši 2,7 miliardy dolarů. Vzhledem k tomu, že počet BEC útoků vzrostl v roce 2022 o 81 %, je zřejmé, že organizace musí být na tuto hrozbu připraveny.
Mezi odvětví, která jsou nejčastěji terčem útoků BEC, patří finanční sektor a odvětví logistiky a realizace zásilek, přičemž FBI varuje, že útoky BEC se nyní zaměřují i na zásilky potravin. Vzhledem k finanční motivaci se nezdá, že by útoky BEC polevovaly, a útočníci hledají nové způsoby, jak dosáhnout úspěchu.
V tomto článku se budeme zabývat vývojem útoků BEC, a poskytneme základní informace, které by organizace měly znát, aby se před touto rostoucí hrozbou mohly chránit.
Vývoj BEC útoků
Útoky BEC (Business Email Compromise), známé také jako CEO fraud nebo man-in-the-email attacks, jsou sofistikované podvodym zaměřené na společnosti, které provádějí bankovní převody. Tyto útoky často zahrnují kyberzločince, který se vydává za vysoce postaveného vedoucího pracovníka nebo důvěryhodného partnera, aby oklamal zaměstnance a přiměl je k převodu finančních prostředků nebo citlivých informací, jako jsou například údaje o bankovním účtu. Techniky používané při útocích BEC se liší, ale často se do značné míry spoléhají na sociální inženýrství a využívají lidských slabin, včetně důvěry a autority.
Ačkoli se může zdát, že útoky založené na elektronické poště vycházejí z módy, není tomu tak. Zjistili jsme, že 25 % vedoucích pracovníků z naší 2023 Cybersecurity Assessment report by si přálo vyvrátit bezpečnostní mýtus, že "e-mail, který přijde do firemního systému, je vždy bezpečné otevřít a kliknout na něj". Je zřejmé, že osvěta je stále nutná.
Podstatou BEC útoků je pokročilá forma phishingu. Kyberzločinci spouštějí masivní phishingové kampaně a rozesílají podvodné e-maily velkému počtu potenciálních obětí. S pomocí nástrojů umělé inteligence jsou tyto kampaně stále sofistikovanější. Vydání chatbotů s umělou inteligencí, jako je ChatGPT, se využívá ke generování věrohodného obsahu e-mailů, který neobsahuje mnoho typických znaků, jako je například podivný jazyk nebo špatná gramatika.
Dalším novým trendem v oblasti BEC útoků je používání deepfakes - videí, obrázků nebo hlasů generovaných umělou inteligencí, které jsou podobné skutečné osobě, za niž se vydávají. Pomocí technologie deepfake mohou útočníci napodobit hlas generálního ředitele nebo jiného vrcholového manažera, což těmto útokům dodává další vrstvu důvěryhodnosti. FBI již vydala varování, jak tito podvodníci používají deepfakes na virtuálních schůzkách jako součást BEC útoků.
Nejedná se o hypotetickou situaci. V roce 2019 přišla jedna britská energetická firma o 243 000 dolarů, když byl výkonný ředitel podveden při převodu finančních prostředků podvodníkem, který pomocí technologie deepfake napodoboval hlas generálního ředitele společnosti. Protože se BEC útoky stále vyvíjejí, je pro organizace zásadní, aby o těchto trendech byly informovány a investovaly do pokročilých bezpečnostních opatření na obranu proti této rostoucí hrozbě.
Jak mohou nedávné události v bankovním sektoru vést k dalším BEC útokům
Nedávné události otřásly finančním sektorem. Silicon Valley Bank i Signature Bank padly, a First Republic Bank musela zachránit JP Morgan, aby se vyhnula podobnému osudu. To vytvořilo velmi napjaté prostředí, odvedlo pozornost a odklonilo zdroje od problematiky kybernetické bezpečnosti, což může vést ke zbytečnému riziku pro menší a lokální banky, které budou pravděpodobně kybernetickou kompromitací zasaženy nejvíce.
Situaci ještě zhoršují podvodníci, kteří využívají nejistoty a provádějí různé phishingové a BEC útoky. Podvodníci již zakoupili domény spojené s SVB a Signature v naději, že se pokusí ukrást finanční informace, zatímco jiní, zákeřnější hackeři, oslovili klienty postižených bank nebo klienty klientů SVB, vydávají se za tuto organizaci a žádají o údaje o bankovních účtech.
Zatímco největší banky jsou schopny čelit reputačním a finančním dopadům těchto typů útoků, menší banky budou pravděpodobně čelit mnohem horším následkům, pokud budou zasaženy BEC útoky. Nejenže v důsledku útoku přijdou o finanční prostředky, ale mohou být ohroženy i tím, že vkladatelé vyberou své prostředky kvůli dopadu na pověst spojenou s kybernetickým útokem. To může prohloubit problémy, které vedly ke krachu SVB a Signature Bank.
Jak se mohou organizace bránit
V boji proti BEC útokům je klíčové budovat silnou bezpečnostní kulturu a povědomí o této problematice. Vzhledem k povaze těchto útoků, představují zaměstnanci často první i poslední linii obrany. I při zavedení důkladných bezpečnostních opatření může jediné pochybení nepozorného nebo nedbalého zaměstnance vést k úspěšnému útoku.
Jedním z klíčových kroků je vybudování vysoké úrovně ostražitosti zaměstnanců. Pravidelná a průběžná bezpečnostní školení jim mohou pomoci odhalit varovné signály BEC útoků, jako jsou žádosti o neobvyklé bankovní převody nebo naléhavé požadavky, které obcházejí běžné postupy. K posílení tohoto školení mohou být užitečná také simulovaná cvičení phishingu, která zaměstnancům poskytnou praktické zkušenosti s identifikací pokusů o útoky, a reakcí na ně.
Je také důležité vědět, že jednorázová školení o bezpečnostních rizicích nestačí, zejména proto, že se útoky vyvíjejí a mění se jejich taktika. Průběžná bezpečnostní školení mohou zajistit, že vaši zaměstnanci budou o těchto nových metodách útoků vědět dříve, než se s nimi setkají na vlastní kůži. Ne všichni zaměstnanci však mohou být tak vnímaví, proto se ujistěte, že budujete bezpečnostní kulturu v celé organizaci, která bude vaše snažení akceptovat.
Mnoho organizací také zjistilo, že je užitečné zavést elektronické nástroje a řešení od dodavatelů, která automaticky označují nebo indikují e-maily z externích zdrojů. Tyto nástroje mohou pomoci chránit před e-mailovými útoky a obsahují:
Řešení zabezpečení e-mailů: Tyto nástroje mohou skenovat příchozí e-maily a hledat známky phishingových nebo BEC útoků, jako jsou podezřelé přílohy, URL adresy, nebo mohou pro jistotu označit jakéhokoli externího odesílatele.
Monitorování domény: Tyto služby sledují registraci domén a mohou vás upozornit, pokud si někdo zaregistruje doménu, která se velmi podobá té vaší - což je běžná taktika při BEC útocích.
Nástroje pro zabezpečení sítě: Tyto nástroje mohou pomoci odhalit neobvyklou aktivitu v síti a případně identifikovat probíhající BEC útok.
Investice do těchto nástrojů a strategií může výrazně posílit obranu organizace proti BEC útokům. Je však důležité si uvědomit, že žádné opatření není spolehlivé. Vícevrstvý přístup, který kombinuje technickou obranu se silnou bezpečnostní osvětou, je často nejúčinnějším způsobem ochrany proti těmto sofistikovaným útokům.
Další informace o vícevrstvém cloudovém zabezpečení e-mailu pro organizace a MSP.