eWAY s.r.o.

eWAY s.r.o. logo

Ako útočníci zneužívajú sfalšované e-mailové adresy na zneužitie vašej obchodnej komunikácie?

email compromise, BEC

Ako útočníci zneužívajú sfalšované e-mailové adresy na zneužitie Vašej obchodnej komunikácie? 4 rizikové scenáre.

email compromise, BEC

Keď počujete výraz „sfalšovaný“ alebo „spoofed“ e-mail, napadne vám hneď BEC útok? Platí to pre mnohých ľudí – najmä pre pracovníkov bezpečnosti IT. BEC je forma e-mailového podvodu a už roky je hlavným záujmom pracovníkov informačnej bezpečnosti.  Ohrozenie zabezpečenia firemného e-mailu (BEC) je typ počítačovej kriminality, v rámci ktorého podvodník využije e-mail na to, aby nalákal niekoho na posielanie peňazí alebo prezradenie dôverných informácií o spoločnosti.

BEC podvody sú nákladný problém. Najnovšia správa o internetovej kriminalite od FBI Internet Crime Complaint Center (IC3) uvádza, že STRATY  z BEC útokov boli minulý rok 2,9 miliardy dolárov. Od roku 2013 dosiahli akumulované finančné straty spôsobené BEC takmer 53 miliárd USD. 

„Spoofing“ je odcudzenie identity a je podstatou e-mailového podvodu. Je to tiež jedna z najbežnejších techník používaných pri iných typoch útokov, ako je phishing a ransomware. Bezpečnosť vašej spoločnosti, podobne ako mnohé iné, sa pravdepodobne zameriava na zastavenie falošných e-mailov skôr, ako sa vôbec dostanú do doručenej pošty zamestnancov.
Je tu však viac problémov. Sfalšovaný e-mail má potenciál poškodiť reputáciu Vašej značky a ohroziť aj Váš obchodný ekosystém.

Tu je niekoľko bežných metód, ktoré útočníci používajú na vydávanie sa za iných, aby mohli pokračovať vo svojich útokoch:

  • Spoofing zobrazovaných mien:
     Zobrazované meno sa zobrazí v poli „Od:“ e-mailu. Je to najjednoduchšie manipulovateľný e-mailový identifikátor. Útočníci falšujú hlavičky e-mailov, takže klientsky softvér (napr. Outlook) zobrazuje meno podvodného odosielateľa, čo väčšina neškolených používateľov považuje za nosnú informáciu.
  • Spoofing domény:
    Útočníci použijú presnú zhodu domény organizácie na spustenie tohto typu podvodného útoku. Útočníci, ktorí sa zapoja do spoofingu domény, sa pokúsia napodobniť odosielajúci server alebo odosielajúcu doménu. 
  •  Podobné domény:
    Tretie strany môžu zaregistrovať podobné domény a posielať e-maily, ktoré vyzerajú, že pochádzajú z dôveryhodného zdroja. Napr. g00gle.com miesto google.com a podobne.
  • Kompromitované dodávateľské účty:
    Pri niektorých pokročilých útokoch útočníci kompromitujú účet od dodávateľa, ktorý spolupracuje s firmou, na ktorú sa chcú zamerať. Napadnutý dodávateľský účet použijú na zneužitie e-mailovej komunikácie medzi ich cieľom a dodávateľom. Nakoniec sa útočníci dostanú ku svojmu cieľu: spustiť útok alebo vyžiadať podvodnú platbu alebo citlivé údaje od klienta.

Rôzne scenáre útokov:

Teraz sa pozrime na to, ako môžu útočníci použiť sfalšované e-maily na zneužitie dôveryhodných vzťahov, ktoré máte s vašimi zákazníkmi, obchodnými partnermi, dodávateľmi a zamestnancami: 

Scenár 1: Vydajú sa za vás, aby sa zamerali na vašich zamestnancov

Pravdepodobne najlepšie známy je prvý scenár, kde útočníci predstierajú, že sú niekým vo vašej spoločnosti, ako napríklad váš generálny riaditeľ alebo manažér. Podvod sa často začína jednoduchou návnadou, ktorá vyzerá ako neškodná správa, ako napríklad: Ako sa máte? Si pri svojom stole? Môžete mi súrne s niečím pomôcť? 

Akonáhle útočníci dostanú obeť, aby sa zapojili, konverzácia sa rozvinie. Útočník môže obeť požiadať, aby pre ňu kúpila darčekové karty, vykonala podvodnú platbu alebo zdieľala dôverné údaje. 

Útočníci sa môžu nielen vydávať za vedúcich pracovníkov, ale môžu tiež predstierať, že sú všeobecnými zamestnancami, ktorí žiadajú ľudské zdroje o presmerovanie ich výplatných pások a podobne. Skrátka, nezáleží na role obete v spoločnosti. Kohokoľvek e-mail môže byť odcudzený a zacielený na kohokoľvek v rámci organizácie.

mail spoofing
spoofing falšovanie emailu

Scenár 2: Využitie vašich dodávateľov alebo obchodných partnerov, aby ste sa zamerali na svojich zamestnancov

Najčastejšou témou v tomto scenári je podvod s fakturáciou dodávateľov. Útočníci využijú dodávateľov spoločnosti aby buď poslali falošnú faktúru, alebo požiadali obeť, aby presmerovala platbu na bankový účet, ktorý útočníci ovládajú.

Tento prístup sa zameriava na medzipodnikové subjekty a môže mať za následok značné finančné straty pre tieto spoločnosti. Nie je to nič neobvyklé, že podniky prídu o desiatky miliónov dolárov.

Kompromitované účty dodávateľov je ťažké odhaliť. Okrem toho môžu protivníci použiť túto taktiku pri iných útokoch ako BEC. Môžu napríklad zmeniť faktúru na malvér a oklamať obeť, aby si stiahla škodlivú prílohu. Alebo môžu získať citlivé údaje od obete, ktorá sa domnieva, že komunikuje s dôveryhodným dodávateľom. 

Bez ohľadu na ich cieľ musia útočníci iba zachytiť obchodnú komunikáciu medzi vami a vašimi dodávateľmi, aby dosiahli svoje ciele.

spoofing email falšovanie totožnosti

Scenár 3: Odcudzia Vašu identitu, aby ste zacielili na svojich obchodných partnerov

Útočníci môžu obrátiť vašich dodávateľov proti vám – a môžu tiež vás obrátiť proti vašim obchodným partnerom. Robia to tak, že spoofujú vaše dôveryhodné domény alebo registrujú domény, ktoré vyzerajú veľmi podobne ako vaše. Bez vhodných kontrol, ako je overenie e-mailu, sú vaše dôveryhodné domény náchylné na sfalšovanie.

Na rozdiel od spoofingu zobrazovaného mena je spoofing domény oveľa ťažšie rozpoznať, pretože sa zdá, že podvodný e-mail pochádza z legitímnej domény. V spoločnosti Proofpoint zistili, že v priemere asi 23 miliónov správ denne je od neautorizovaných odosielateľov, ktorí potenciálne sfalšujú dôveryhodné domény. A registrácia podvodných domén nemôže byť pre útočníkov jednoduchšia. Útočníci si napr. za jeden deň zaregistrovali až 300 domén na propagovanie phishingovej kampane.

Zoznam škodlivých podobných domén zaregistrovaných útočníkmi, aby sa vydávali za PayPal, spolu s dátumom ich registrácie.

Scenár 4: Odcudzia vašu identitu, aby ste zacielili na svojich zákazníkov 

Podobne ako v treťom scenári, útočníci sa môžu za vás vydávať, aby sa zamerali na vašich zákazníkov, čím by poškodili vašu značku alebo reputáciu. Je dôležité pochopiť, že útočníci sa môžu vydávať nielen za váš e-mail, ale aj e-mail aplikácie/služby, ktorú využívate – napríklad na automatické rozosielanie newsletterov.  

V porovnaní s počtom transakčných e-mailov, ktoré aplikácie generujú, je počet e-mailov používateľov ako špička ľadovca. Okrem toho môžete mať veľký počet aplikácií tretích strán, napríklad od partnerov softvéru ako služby (SaaS), ktoré posielajú transakčné e-maily ako „vy“ svojim zákazníkom (a dokonca aj vašim zamestnancom). Napríklad:

  • Spoločnosť môže použiť Salesforce na odosielanie letákov/noviniek zákazníkom
  • Poskytovatelia zdravotnej starostlivosti môžu spolupracovať s dodávateľom SaaS a posielať pripomienky schôdzok
  • Obchodníci môžu na odosielanie potvrdení objednávky alebo upozornení na dodanie použiť aplikácie tretích strán

Tieto e-maily sú vystavené riziku, ak nie sú chránené. Rovnako ako e-mail používateľa, e-mail aplikácie môže byť sfalšovaný. Tiež môže mať škodlivý obsah, ak útok kompromituje aplikáciu alebo poskytovateľa SaaS.

fake email spoofing
Príklad transakčného e-mailu vygenerovaného aplikáciou, ktorý bol sfalšovaný útočníkmi.

Tipy na zníženie rizika odcudzenia identity

Riziko odcudzenia identity je všadeprítomným problémom každého podniku. Viacvrstvový prístup k obrane vám môže pomôcť znížiť toto riziko. Robustné riešenie zabezpečenia e-mailov vám pomôže zastaviť väčšinu hrozieb skôr, ako sa dostanú do doručenej pošty vašich koncových používateľov. Dokáže tiež odhaliť a blokovať širokú škálu hrozieb, ktoré zahŕňajú taktiku odcudzenia identity, ako je phishing, malvér, ransomware a BEC.

Tu je niekoľko tipov, ako nájsť správne riešenie a znížiť riziko:

  • Hľadajte pokročilé technológie. Na efektívnejšiu detekciu a blokovanie nových hrozieb potrebujete moderné riešenie zabezpečenia e-mailov , ktoré využíva umelú inteligenciu a strojové učenie spolu s analýzou správania, inteligenciou hrozieb a dokonca aj veľkými jazykovými modelmi (LLM).
  • Podporte vedomosti svojich zamestnancov. Keďže neexistuje jediná technológia, ktorá by dokázala zastaviť    100 % hrozieb, je dôležité spárovať vaše riešenie na detekciu hrozieb s programom na zvyšovanie povedomia o bezpečnosti . Ak tak urobíte, vaši zamestnanci budú vedieť, že potrebujú identifikovať odosielateľa a bežné taktiky phishingu. Nezabudnite im tiež poskytnúť nástroje na nahlásenie akýchkoľvek podozrivých správ.
  • Overte svoje e-maily. Kritickým aspektom rizika odcudzenia identity sú útočníci, ktorí spoofujú vašu doménu a zneužívajú vašu značku a povesť. E-mailová autentifikácia je jedným z najúčinnejších spôsobov, ako zabrániť falšovaniu domény. Hľadajte teda riešenie, ktoré dokáže overiť všetky vaše e-maily vrátane e-mailov používateľov a aplikácií.
  • Hľadajte adaptívne ovládacie prvky. Aplikovanie adaptívnych kontrol, ako je izolácia adries URL od rizikových dodávateľov, vám umožňuje zmierniť vaše vystavenie ohrozeným účtom dodávateľov bez narušenia vášho podnikania.

5 príznakov, že je Vaša firma ľahkým cieľom ransomvéru

ransomware , ransomvér

5 príznakov, že je Vaša firma ľahkým cieľom ransomvéru

ransomware , ransomvér

Cítiť sa zraniteľným je nepríjemné. Stačí sa opýtať miestneho bezpečnostného tímu vo firme. Podľa štúdie zameranej na verejné a internetové aktíva až v 471 spoločnostiach z rebríčka „Fortune 500“ (každoročný rebríček zostavený a vydaný časopisom Fortune, v ktorom je zoradených 500 amerických súkromných a verejných korporácií podľa ich hrubého obratu), bolo objavených viac ako 148 000 kritických zraniteľností, čo je v priemere 476 na jednu spoločnosť.

To znamená, že objem potenciálnych cieľov je tak veľký, že hackeri ani nemusia využiť všetky, aby prenikli do podnikových systémov. Namiesto toho majú k dispozícii ponuku ľahších cieľov, na ktoré sa môžu zamerať, pretože vedia, že bezpečnostný tím je príliš vyťažený na to, aby odhalil a vyriešil každú slabinu.

Táto neschopnosť pokryť všetky bezpečnostné požiadavky, robí organizácie zraniteľnejšími voči finančne náročným a deštruktívnym útokom, viac než kedykoľvek predtým. Podľa Bitdefender’s 2023 Cybersecurity Assessment Report viac ako polovica opýtaných podnikov utrpela v posledných 12 mesiacoch narušenie bezpečnosti – a väčšina týchto útokov boli pokusy ransomvéru, ktorý sa snaží prevziať kontrolu nad kritickými podnikovými systémami, a následne žiadať výkupné.

Nárast a vývoj ransomvérov núti organizácie prehodnotiť svoju pripravenosť na zabezpečenie z hľadiska obchodných rizík. Bezpečnostné tímy musia identifikovať zraniteľnosti, stanoviť priority najkritickejších dier, a lepšie riešiť zraniteľnosti, ktoré pre organizáciu predstavujú najväčšie riziko.

Odvetvie ransomvéru dospieva

Na základe skúseností nadnárodných korporácií si útočníci uvedomili, že na škálovateľnosti záleží. Namiesto toho, aby pracovali samostatne a vytvárali jednotlivé hrozby po jednom, spojili svoje zdroje a vytvorili globálne gangy ransomvérov. Tieto siete ransomvérov ako služby, zložené z prevádzkovateľov a pridružených spoločností, ktoré fungujú ako samostatne zárobkovo činní dodávatelia. Pracujú vo veľkom, aby mohli napádať viac obetí súčasne a reinvestovať svoje zárobky do rozsiahlych výskumných a vývojových centier, kde neúnavne pracujú na objavovaní a zneužívaní ďalších zraniteľností.

Toto ich úsilie je venované vývoju sád ransomvéru, ktoré sa predávajú na čiernom trhu podnikavým podvodníkom, ktorí často nemajú žiadne technické znalosti. Stačí, keď si zaplatia kreditnou kartou alebo internetovou menou, a môžu vyraziť – hrozba pre všetky organizácie – od spoločností „Fortune 500“ s armádou počítačových špecialistov, čítajúcich stovky špecialistov, až po malé organizácie, ako sú školy alebo neziskové organizácie s obmedzeným pokrytím kybernetickej bezpečnosti.

Boj proti tomuto priemyselnému komplexu ransomvéru je náročný – pre všetkých. Problém je v tom, že dnešné hrozby sú také rozsiahle, a rozširujú sa takým tempom, že je pre bezpečnostné tímy vo firmách takmer nemožné identifikovať a opraviť všetky zraniteľnosti v organizácii. Zaistenie že všetky patche sú aktuálne je nočnou morou, ktorá si vynucuje plánované odstávky, ktoré ovplyvňujú produktivitu užívateľov. Rozširujúce sa plochy hrozieb situáciu len sťažujú, vďaka digitálnej transformácii, integrácii partnerov, stále zložitejším dodávateľským reťazcom a hybridným pracovným modelom. Sledovanie každého koncového bodu, servera, aplikácie a ďalších entít, ktoré sa dotýkajú siete, je náročná úloha aj pre stovku administrátorov – nieto ešte pre menšie tímy.

Zavedenie stratégie riadenia zraniteľností založenej na rizikách

Môže sa to zdať absurdné, ale organizácie sa budú musieť zmieriť s tým, že útočníci budú aj naďalej prelamovať ich siete. Plochy hrozieb sa rozširujú príliš rýchlo na to, aby s nimi bolo možné držať krok, a vďaka tzv. shadow IT nebudú mať bezpečnostné tímy nikdy úplný prehľad o všetkých zákutiach siete. Ľudský faktor ransomvéru navyše znamená, že používatelia budú aj naďalej klikať na odkazy alebo sťahovať súbory, ktoré by nemali.

Namiesto toho, aby sa organizácie snažili zalepiť všetky diery (čo je nemožné), musia zmierniť dopad hrozieb kombináciou prevencie a detekcie. To umožňuje bezpečnostným tímom zastaviť väčšinu pokusov o narušenie, a sústrediť sa na zastavenie šírenia útokov, ktoré prejdú.

Táto stratégia zmierňovania by mala vychádzať z podnikateľského rizika. Bezpečnostné tímy potrebujú spoľahlivý a presný systém správy aktív, ktorý vyhľadá každý zraniteľný koncový bod v sieti a zaistí, aby bol aktualizovaný najnovším firmwarom a softvérom. Mal by sa tiež uplatňovať princíp prístupu čo najnižších privilégií (oprávnení), ktorý zabezpečí, že iba užívatelia, ktorí potrebujú určitý prístup, budú mať práve taký rozsah prístupu bez toho, aby ohrozili organizáciu.

Tu je päť varovných signálov, ktorých by si organizácie mali byť vedomé pri zavádzaní stratégie riadenia zraniteľností:

1. Zastaralý softvér

Softvér je nevyspytateľný. Opravy a aktualizácie môžu často narušiť zavedený proces, alebo zablokovať automatizované úlohy. Pri hľadaní miest, kde je organizácia zraniteľná, je rozhodujúca jasná predstava o tom, aký softvér sa používa, ako je prepojený s ostatnými podnikovými systémami, a aká verzia je nainštalovaná (a prečo). Napríklad systém riadenia dodávateľského reťazca môže bežať na nepodporovanej verzii systému Windows, ale jeho aktualizácia môže narušiť kľúčový podnikový proces. Správna znalosť toho, ako môže softvér ovplyvniť produktivitu, vám pomôže posúdiť riziko v správnom kontexte.

2. Nedostatok špecifických školení pre zamestnancov

Školenie by nemalo byť zaškrtávacím políčkom, ktoré si odškrtnete z dôvodu dodržiavania právnych predpisov. Malo by niečo znamenať. Rôzne úlohy majú rôzne rizikové faktory a je dôležité, aby zamestnanci boli adekvátne preškolení pre svoje konkrétne povinnosti. Používatelia, ktorí majú prístup k finančným informáciám alebo informáciám o zákazníkoch, by mali vedieť, čo sa od nich očakáva z hľadiska ochrany osobných údajov, a dodržiavať podrobné procesy, ktoré tieto kritické informácie chránia. Napríklad po e-maily, v ktorom je asistentka výkonného riaditeľa požiadaná o preplatenie šeku, by mal nasledovať nejaký spôsob overenia žiadosti. Vzhľadom na stále sofistikovanejšie útoky typu spear phishing a sociálne inžinierstvo, je to veľmi dôležité.

3. Nedostatočné zálohovacie systémy a procedúry

Spoľahlivé zálohy slúžia ako poistka proti útokom ransomvéru, ale je nepraktické ukladať všetko na špičkové disky v reálnom čase. Je dôležité, aby ste posúdili, čo treba zálohovať, akým spôsobom, aby k tomu bol opätovný prístup, a akou rýchlosťou je potrebné to obnoviť. Zasadenie do kontextu obchodných rizík umožňuje organizáciám spoliehať sa na rôzne úložné médiá – niektoré veľkokapacitné, rýchle a bezpečné, oproti lacnejším alternatívam pre menej kritické dáta. Dôležité je tiež zabezpečiť pravidelnú aktualizáciu kritických systémov, aby sa predišlo chybám a oneskoreniam v prípadoch, keď je rýchlosť životne dôležitá.

4. Zraniteľnosti otvorenej siete

Dnešné podnikanie je prepojené. Interní aj externí používatelia sa pri svojej práci spoliehajú na rôzne nástroje, procesy, aplikácie, platformu Software ako služba (SaaS), a ďalšie webové služby – a všetky vyžadujú všadeprítomný prístup. Bezpečnostné tímy nikdy nezískajú úplný prehľad o všetkých týchto prepojeniach, ale je dôležité, aby boli pokryté tie najdôležitejšie. Týždenné a mesačné skenovanie môže pomôcť odhaliť otvorené sieťové pripojenia a potenciálne zraniteľnosti, a pomôcť vám lepšie spravovať a chrániť rozširujúcu sa plochu hrozieb.

5. Nedodržiavanie osvedčených postupov v oblasti kybernetickej bezpečnosti

Takmer každá organizácia podlieha mnohým predpisom a požiadavkám na audit – najmä ak pôsobí vo viacerých krajinách a regiónoch po celom svete. Je dôležité, aby bezpečnostný tím pochopil, kde sa organizácia dopúšťa pochybenia, a či predpisy dodržiava, alebo nie. Viditeľnosť a informovanosť sú kľúčom k zaisteniu bezpečného a spoľahlivého plnenia požiadaviek na dodržiavanie predpisov.

Inteligentná a vyvážená stratégia správy zraniteľností

Stále sofistikovanejší ransomvéroví zločinci robia všetko pre to, aby využili rastúci počet zraniteľností a prenikli do podnikových sietí. Ani tie najväčšie a najefektívnejšie bezpečnostné tímy nemôžu pokryť celý, rýchlo sa rozširujúci povrch hrozieb. Organizácia musí vyhodnocovať zraniteľnosti tak, ako súvisia s obchodnými rizikami – zraniteľnosti, ktoré majú väčší vplyv na produktivitu alebo bezpečnosť, by mali byť riešené rýchlo. Lepšia a spoľahlivejšia správa aktív pomáha bezpečnostným tímom tento cieľ dosiahnuť – umožňuje im identifikovať zraniteľnosti v celej organizácii, stanoviť priority tých najkritickejších, a rýchlo pracovať na ich riešení. Plochy hrozieb sú príliš veľké a rozširujú sa príliš rýchlo na to, aby sa bezpečnostné tímy snažili zachytiť všetko naraz. Je potrebná inteligentnejšia a diferencovanejšia stratégia.

eWAY Gold partnerom spoločnosti Bitdefender

Bitdefender gold partner logo

Naša spoločnosť dňa 7.2. splnila všetky potrebné certifikačné podmienky spoločnosti Bitdefender. Úspešný prezenčný test technika, 2 elektronické technologické testy a 2 obchodné. 🙂 Dnešným dňom môžeme poskytovať obchodné a technické služby na najvyššej partnerskej úrovni. Tešíme sa 🙂