Business Email Compromise. Na pierwszy rzut oka nie brzmi poważnie. Ttymczasem to jeden z wyjątkowo groźnych ataków, opartych na socjotechnice. Takich na które łatwo się nabrać i mogą piekielnie dużo kosztować.
Tytułowe określenie po polsku nazwałbym podszyciem się pod korespondencję biznesową. Nie lubię tłumaczyć angielskiego zwrotu "compromise" jako "kompromitacja", co często ma miejsce w materiałach o cyberbezpieczeństwie. Dla mnie to tzw. "false friend", bo akurat w tej sytuacji niezwykle łatwo paść ofiarą ataku, a z kompromitacją nie ma to nic wspólnego.
Nie atakują byle kogo
Pisząc o cyberzagrożeniach regularnie zaznaczam, że przestępcy mogą zaatakować każdego. W przypadku Business Email Compromise jest inaczej. To atak, wymagający przygotowania, czasu i pieniędzy. Napastnik musi bowiem odpowiednio wcześnie uzyskać dostęp do skrzynki e-mailowej ofiary, czyli włamać się do firmowej sieci. W tym przypadku więc statystyczny internauta nie będzie jego ofiarą.
Oszustowi wystarczy dostęp pasywny. Nie musi niczego robić, w żaden sposób dawać znaku życia. Wystarczy, że będzie czytał maile, przychodzące do przyszłej ofiary. Analizował jej styl, sposób wypowiedzi, patrzył jacy jeszcze adresaci znajdują się w często cytowanej poniżej historii. Po co to wszystko?
"Słuchaj, zrób szybko ten przelew na 100 tys. €!"
Po to, by w momencie ostatecznego ataku podszyć się pod bardzo konkretnego nadawcę. I napisać maila, wymagającego poważnej, finansowej aktywności, do konkretnego odbiorcy. Zazwyczaj będzie to ofiara, której korespondencji się przyglądał.
Pamiętam prezentację mł. insp. Jana Klimy z małopolskiej policji, który 3 lata temu, na ostatnim "przedpandemicznym" Confidence, opowiadał historię takiego ataku, który kosztował firmę-ofiarę 345 tys. euro (!). No ale cóż zrobić, gdy do księgowej trafia pilny mail od prezesa, że teraz koniecznie trzeba zrobić przelew? Bo jak nie to umowę diabli wezmą! Oczywiście taka kwota to nie jakaś drobnica, więc trzeba zadzwonić po potwie... Telefon wyłączony? No tak, przecież szef leci do Azji. Minie wiele godzin, zanim będzie można się doń dodzwonić... Oszust zdecydowanie dobrze przygotował się do ataku.
Gdy szukałem inspiracji do dzisiejszego tekstu, trafiłem na post Paula Ducklina na blogu Naked Security. Opisuje on historię scamera od Business Email Compromise właśnie, ale także zajmującego się oszustwami "na zakochanego w kłopotach". Elvis Eghosa Ogiekpolor (nie bez przyczyny ten drugi tym oszustwa określa również mianem "scamu nigeryjskiego") oszukał firmy i osoby prywatne na blisko 10 mln dolarów. Teraz, wyrokiem sądu w Atlancie w stanie Georgia, przez ćwierć wieku będzie żył na federalnym wikcie. Co jednak zrobić, by utrudnić życie jemu podobnym, którzy (jeszcze) są na wolności?
Business Email Compromise - jak go uniknąć?
- Stworzyć w firmie system raportowania podejrzanych maili. W małej firmie może to być po prostu rozpowszechniony u wszystkich "mail do tego kolesia od komputerów"; w Orange Polska w naszych Outlookach mamy oznaczony logo CERT Orange Polska wyraźny przycisk "Phishing-zgłoś podejrzaną wiadomość e-mail", który jest ilustracją tytułową tego tekstu.
- Nie wstydzić się zgłaszać wszelkich podejrzeń! Jeśli ktoś napisze w mailu, który trafił do mnie, że się wahał/a, czy "zajmować nam czas", piszę, że zdecydowanie bardziej wolę dostać 100 fałszywych alarmów, niż przegapić 1 faktyczny atak
- Jeśli masz wątpliwości - skontaktuj się bezpośrednio z nadawcą!
- Ale nie odpisuj mu na maila (to chyba oczywiste). Zadzwoń, zajrzyj do jego biura. A jeśli nie odbiera, bo właśnie leci do Azji - skontaktuj się (w opisywanym przypadku) z innym członkiem zarządu, czy jej/jego asystentką/em. Jak sądzisz, czy większy problem będzie, gdy okaże się, że wszczynasz fałszywy alarm, czy jeśli przelejesz grubą kasę komuś, kto nie powinien jej otrzymać?
- Wprowadźcie w firmie (lub zainspiruj do tego swoich przełożonych) obowiązek podwójnego potwierdzenia przy transakcjach na wysokie kwoty.
- Można sobie żartować, że w różnych filmach decyzje, niosące za sobą poważne konsekwencje (czy to dla firmy, czy dla świata), wymagają dwóch kodów do wpisania, dwóch kciuków do zeskanowania, czy dwóch kciuków do przekręcenia. Ale nawet biorąc pod uwagę, jak dużo warty jest czas akceptujących te działania osób, konsekwencje pomyłki będą warte duuużo więcej.
Komentarze
Wiecie co? Zamknijcie lepiej tą „promocję” i nie denerwujcie ludzi takimi „prezentami”… 😛
OdpowiedzDokładnie
Odpowiedznajgorsza promocja jaka mogłaby być masakra totalnie bezużyteczne
OdpowiedzTeż postulowałem o zamknięcie tej promocji i powrót do promo GB za gole (mimo kalectwa reprezentacji)
OdpowiedzA mi się w ogóle nie pojawia ta promka w apce Mój Orange a mam Free na kartę.
Odpowiedz