Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Modelowe ataki przestępców – oszustwa poprzez konta pocztowe

Data publikacji: 29-04-2021 Autor: Ireneusz Tarnowski

Business Email Compromise (BEC), znany także jako EAC (ang. Email Account Compromise), jest jednym z najbardziej dotkliwych finansowo przestępstw internetowych. Ataki tego typu wykorzystują pocztę będącą jednym z podstawowych kanałów komunikacyjnych w prowadzeniu interesów.

 

Atak polega na przejęciu skrzynki pocztowej członka kadry kierowniczej lub pracowników wysokiego szczebla związanych z finansami. Posiadając dostęp do poczty, przestępcy pozyskują wrażliwe informacje, badają i ściśle monitorują potencjalne ofiary i ich organizacje. Ostatecznie, podszywając się pod właściciela przejętej skrzynki pocztowej, tworzą scenariusz ataku socjotechnicznego, mającego na celu kradzież dużych kwot pieniędzy.

Z technicznego punktu widzenia oszustwa te polegają na manipulowaniu ludźmi i zazwyczaj nie wymagają zaawansowanej penetracji systemu. W przeciwieństwie do ataków typu phishing wiadomości używane w oszustwach BEC nie są wysyłane masowo. Tutaj ofiara jest bardzo dobrze wybrana, a cały scenariusz przygotowany pod firmę i konkretną osobę. Przestępcy przeprowadzają rekonesans i doskonale wiedzą, kto pełni jaką rolę w organizacji, w jaki sposób wymieniana jest korespondencja oraz jak wyglądają wzorce maili. Posiadając tę wiedzę, przejmują w sposób niezauważony skrzynkę swojej ofiary, a potem realizują jeden z kilku scenariuszy.

Czynnikiem sprzyjającym atakom typu BEC jest unifikacja i koncentracja usług pocztowych czy nawet szerzej patrząc – usług biurowych. Wiele firm stosuje rozwiązania chmurowe, tj. MS Office 365 czy GSuite dla firm, w których dostęp do usług jest oparty na pojedynczym punkcie logowania (ang. Single Sign-On). Interfejs logowania do tych usług jest znany i udostępniony publicznie. Przestępcy wykorzystują ten fakt i prezentują swoim ofiarom fałszywą stronę, w ten sposób gromadząc to, co na niej zostanie wpisane. Oczywiście rozwiązania chmurowe udostępniają wiele opcji pozwalających na zwiększenie zakresu bezpieczeństwa, które warto zastosować. Jednak – jak pokazuje praktyka – dostęp do zasobów firmy staje się coraz łatwiejszy (również dla przestępców).

> SCENARIUSZE ATAKÓW

Poniżej przedstawiamy pięć sposobów wykorzystania poczty do przeprowadzenia ataków typu BEC.

Fikcyjne faktury

To przestępstwo dotyczy firm, które mają ugruntowane relacje ze swoimi kontrahentami. Oszust, posługując się przejętym adresem e-mail, prosi o przelanie zapłaty za faktury na alternatywne konto bankowe. Oczywiście oszust podaje swoje konto, a właściwie konto specjalnie przygotowane do tego typu działalności. W takim przypadku przestępcy analizują maile ze skrzynki, bardzo często prosząc o zmianę numeru konta w systemach księgowych kontrahentów. W ten sposób środki potrafią spływać na konto oszusta przez długi okres (płatności za kolejne faktury). Dopiero gdy firma wystawiająca faktury upomni się o płatności, dochodzi do odkrycia fałszerstwa. Oszustwo takie dokonywane jest na dwa sposoby – przez bezpośrednią informację o zmianie numeru rachunku bankowego lub użycie istniejących faktur i ponowne ich wysłanie ze zmienionym numerem rachunku.

Oszustwo CEO

Tzw. CEO fraud polega na podszyciu się oszustów pod dyrektora wysokiego szczebla (dyrektor finansowy, dyrektor generalny, dyrektor techniczny itp.) i wysyłaniu wiadomości e-mail do pracowników działu finansów z prośbą o przelanie pieniędzy na kontrolowane przez nich konto. Bardzo często w tym scenariuszu przestępcy podkreślają ważność operacji dla firmy – staje się ona kluczowa dla przetrwania lub dla sfinalizowania wielkiego, a przede wszystkim tajnego projektu. W scenariuszu oszustwa przestępcy wykorzystują wysoką pozycję osoby, przedstawiając swoje żądanie w formie nieakceptującej dyskusji lub jakiejkolwiek zwłoki. Dodatkowo w dużych korporacjach kontakt ze strony CEO bywa czymś wyjątkowym. Traktowany jest on często z dużym respektem, ale także ze „ślepym” podporządkowaniem ze strony pracowników, bo skoro główny szef ze swojej skrzynki o coś poprosił, to nie wypada go pytać o potwierdzenie.

Przejęcie konta pracownika

Sposób działania podobny do opisanych powyżej. Przejmowane jest konto e-mail
pracownika, który wymienia korespondencję z kontrahentami. Jest ono następnie wykorzystywane do wysyłania próśb o opłacenie faktur na konta bankowe kontrolowane przez oszustów. Wiadomości są wysyłane do wielu dostawców zidentyfikowanych na liście kontaktów pracownika. Firma może nie zorientować się w oszustwie, dopóki ich dostawcy nie sprawdzą statusu płatności faktury.

Podszywanie się pod prawnika

W tej wersji oszustwa cyberprzestępca kontaktuje się z pracownikami lub dyrektorem generalnym firmy, podając się za prawnika lub przedstawiciela firmy prawniczej, twierdząc, że zajmuje się sprawami poufnymi i wrażliwymi dla organizacji (lub dla kontrahenta, z którym wiążą firmę bliskie i ważne relacje). Ten kontakt jest zazwyczaj nawiązywany telefonicznie lub za pomocą poczty elektronicznej i zmusza osobę, z którą się kontaktowano, do szybkiego lub potajemnego działania w zakresie obsługi transferu środków. Ten rodzaj ataku BEC często ma miejsce pod koniec dnia roboczego, przed ważnymi spotkaniami lub podróżami. Poprzez manipulację faktami napastnik tworzy presję czasu do podjęcia działań.

Kradzież danych

W przypadku kradzieży danych schemat ataku obejmuje wykorzystanie skrzynek pocztowych i wiadomości pracowników wypełniających określone role w organizacji. Pożądane są osoby z działu kadr czy księgowości, gdyż celem jest pozyskanie informacji umożliwiających identyfikację innych pracowników, a w szczególności kadry kierowniczej. Atak może służyć jako punkt wyjścia do jeszcze bardziej szkodliwych ataków BEC na samą firmę.

Analizując powyższe scenariusze, trzeba zauważyć, że nie jest to zamknięta grupa.
Przestępcy, w zależności od posiadanych informacji, modyfikują scenariusze, by osiągnąć swój cel. Jeżeli „zdobędą” skrzynkę pocztową pracownika, to stosują scenariusz możliwy do realizacji z pozycji tego pracownika. Jeżeli jednak uda im się zdobyć skrzynkę członka zarządu, to uruchamiany jest scenariusz związany ze zdobytą rolą.

 

[...]

 

Ekspert w zakresie analizy i reagowania na cyberzagrożenia. Analizując zagrożenia w cyberprzestrzeni oraz techniki, taktyki i procedury w atakach, ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające się ataki i zagrożenia. Miłośnik defensywnego podejścia do cyberbezpieczeństwa.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"