Business Email Compromise to rodzaj ataku typu spear phishing, czyli wymierzony w pojedyncze osoby lub działy firm, a ukierunkowany na pracowników mających styczność z firmowymi finansami.

Typowy atak BEC składa się z kilku faz. W pierwszej zbierane są wszelkiego typu informacje o osobach będących celem. Na przykład następuje włamanie do skrzynek pocztowych należących do osób zajmujących kierownicze stanowiska. Cyberprzestępcy śledzą korespondencję i zwyczaje atakowanej osoby, a także procedury i procesy biznesowe wykorzystywane w firmie.

Na podstawie uzyskanej wiedzy, w odpowiednim momencie preparują fałszywe e-maile, które są wysyłane ze skrzynki ofiary do osób będących standardowymi odbiorcami korespondencji. E-maile wyglądają na pochodzące z zaufanego źródła, a ich treść jest podobna do innych e-maili wysyłanych zgodnie z obowiązującymi procedurami i zwyczajami panującymi w firmie.

Zwykle cyberprzestępcy, podszywając się pod menedżera zajmującego wysokie kierownicze stanowisko podkreślają, że jest to sprawa pilna i bardzo ważna, co ma uzasadnić konieczność szybkiego działania i przesłania przekazu na zewnętrzne konto bankowe. Jeśli uda się im przekonać atakowanego pracownika, a często tak się zdarza, to pieniądze pojawiają się, a następnie szybko znikają z kontrolowanego przez cyberprzestępców konta.

Ponieważ zyski z oszustw wykorzystujących technikę BEC mogą być znaczne, cyberprzestępcy poświęcają dużo czasu na infiltrację firmowych systemów, analizę stosowanych w firmie procedur oraz śledzenie przebiegu biznesowych negocjacji by w odpowiednim momencie wkroczyć do akcji i przekonać, któregoś z pracowników firmy do przelania środków finansowych na należące do nich konto.

A jeśli ktoś sądzi, że nie dałby się się tak łatwo oszukać przez cyberprzestępców, to przeczą temu wyniki badania ankietowego przeprowadzonego przez Association of Financial Professionals w 2019 roku. Wynika z niego, że 81% firm otrzymało różnego rodzaju oszukańcze maile, których autorzy podszywali się pod menedżerów wysokiego szczebla zarządzających przedsiębiorstwem, a aż 54% ankietowanych przyznało, że były to udane ataki, które spowodowały straty finansowe (w 29% przypadków były one wyższe niż 100 tys. dol.).

Business Email Compromise. Dużo do stracenia

Według raportu opublikowanego we wrześniu 2019 roku przez FBI, szkody finansowe związane z atakami BEC od połowy 2016 roku przekroczyły 26 mld dol., a wartość rocznych strat systematycznie się podwaja. Raport dotyczy rynku globalnego i został przygotowany w oparciu o dane pochodzące ze 177 państw. W skali globalnej wielkość strat finansowych według FBI rośnie bardzo szybko. W latach 2013-2016 były one szacowane na 2,3 mld dol., w okresie 2016-2018 na 10,2 mld, a w latach 2018-2019 wzrosły do poziomu ok. 16 mld dol.

Z kolei w lipcu 2019 roku oddział amerykańskiego Departamentu Skarbu – FinCEN – opublikował raport Financial Trend Analisys, z którego wynika, że liczba oszukańczych transakcji finansowych wzrosła w latach 2016-2018 z 500 do ponad 1100 miesięcznie, a ich wartość zwiększyła się blisko trzykrotnie: ze 110 do 301 mln dol. W ramach programu szybkiego reagowania FinCEN od 2014 roku odzyskał w sumie zaledwie 500 mln USD skradzionych środków finansowych. Najwięcej, bo 25% wszystkich tego typu incydentów odnotowano w branżach przemysłowej i budowlanej.

Jak wynika z analiz firmy ubezpieczeniowej AIG w lipcu 2019 roku, ataki BEC były najczęstszą przyczyną strat finansowych zgłaszanych przez przedsiębiorstwa ubezpieczone w AIG. Ich udział w wypłacanych odszkodowaniach wzrósł z 11% w 2017 roku do 28% w roku 2018 wyprzedzając straty powodowane przez ransomware, wycieki danych, wirusy, przestoje systemów i kradzieże sprzętu elektronicznego.

Jeśli oszustwo zostanie natychmiast wykryte, banki mogą wycofać przelew i odzyskać część lub całość pieniędzy. Ale każde opóźnienie daje cyberprzestępcom czas na ich przesłanie na inne konto, a po kolejnych takich operacjach ślad znika lub jest bardzo trudny do prześledzenia.

Niestety w praktyce, według cytowanego wcześniej badania AFP, tylko 42% takich oszustw zostało wykrytych w czasie krótszym niż tydzień. Dodatkowy problem stwarza to, że coraz więcej firm korzysta z sieci ACH (Automated Clearing House), które automatyzują i przyspieszają procesy związane z płatnościami.

Business Email Compromise. Jak się bronić

76% ankietowanych przez AFP firm zakazuje dokonywania płatności, jeśli dotyczące ich polecenia są przekazywane przez email lub inny kanał komunikacyjny nie zapewniający odpowiedniego poziomu bezpieczeństwa. 68% ma wdrożone różnego rodzaju procesy weryfikacji transakcji, a 51% wykorzystuje dodatkowy kanał telefonicznej weryfikacji przelewów finansowych.

Jednocześnie tylko 30% organizacji wdrożyło technologię umożliwiającą na przykład wykrywanie i sygnalizowanie użytkownikom, że email nie przyszedł z firmowej domeny, a jego adres jest tylko podobny do adresów wykorzystywanych przez pracowników. Oprócz tego zaledwie 10% firm wykorzystuje dedykowane komputery do zlecania płatności finansowych, które nie pozwalają na nawiązywanie połączeń z pocztą elektroniczną, internetem lub sieciami społecznościowymi.

Do minimalizacji zagrożenia, jakie stwarza skuteczny atak BEC, przyczyniają się dwa główne czynniki: rozwiązania techniczne blokujące oszukańcze wiadomości oraz odpowiednio zaprojektowane procedury zapewniające, na przykład, weryfikację płatności przez dwie lub więcej osób.

Dodatkowe mechanizmy weryfikacji zabierają jednak czas i utrudniają wykonywanie obowiązków. Mogą też znacznie spowolnić procesy regulowania płatności i w efekcie pogorszyć stosunki z partnerami biznesowymi. Ale można wdrożyć procedury wymagające przeprowadzenia dodatkowej weryfikacji w przypadku przelewów większych od określonej kwoty lub zbyt dużej serii mniejszych transakcji, które mają być wykonane w określonym przedziale czasu.

Business Email Compromise. Rozwiązania techniczne

Znane od lat protokoły weryfikacji i potwierdzania autentyczności wiadomości pocztowych, takie jak SPF, DKIM i DMARC – a także i nowsze rozwiązania, np. BIMI – istotnie utrudniają podszywanie się w mailach pod inne osoby.

Pierwszy z wymienionych, Sender Policy Framework, wymaga wprowadzenia modyfikacji do serwerów DNS i pozwala serwerom pocztowym na ustalenie, czy wiadomość pochodzi z należącej do firmy domeny. Mechanizm ten został po raz pierwszy zdefiniowany i opublikowany jako element standardu IETF 4408 w 2006 roku, a osiem lat zaktualizowany do standardu IETF 7208.

DomainKeys Identified Mail zapewnia, że treść przesyłanej wiadomości email nie została przechwycona i zmieniona, na przykład przez modyfikację zawartego w niej numeru konta bankowego. Specyfikacja DKIM została pierwotnie zaproponowana w 2007 roku. Od tego czasu była kilkakrotnie aktualizowana, ostatnio w ramach standardu IETF 8301.

Domain-based Message Authentication, Reporting and Conformance to oparte na domenie uwierzytelnianie, raportowanie i zapewnianie zgodności wiadomości z prezentowanymi w nagłówku informacjami. DMARC rozszerza funkcje SPF i DKIM o spójny zestaw zasad i zapobiega fałszowaniu adresów email przy wykorzystaniu metody znanej jako spoofing. Od 2015 roku jest standardem IETF 7489. Wdrożenie DMARC pozwala znacząco zwiększyć ochronę przed atakami BEC, bo w około 60% przypadków cyberprzestępcy fałszują adres tak by wyglądało, że pochodzi z firmowej domeny. W pozostały 40% adres jest inny, ale łudząco przypomina oryginalny, a jednocześnie wyświetla nazwę nadawcy zgodną na przykład z imieniem i nazwiskiem dyrektora finansowego firmy.

Co ciekawe, firma analityczna 250ok opublikowała w 2019 roku badania dotyczącego wykorzystania technologii DMARC przez firmy z listy Fortune 500. Wynika z nich niestety, że tylko 20% z nich wdrożyło to rozwiązanie, a zaledwie 8% stosuje mechanizmy pozwalające na odrzucenie lub przeniesienie do kwarantanny podejrzanych maili.

Uzupełnieniem DMARC-a jest nowa specyfikacja BIMI – Brand Indicators for Message Identification – którą już wdrożyło Yahoo, a pilotażowe wersje testuje wielu największych dostawców usług, jak m.in. Google, LinkedIn, Comcast lub Verizon Media. BIMI umożliwia wyświetlanie w listach logo nadawcy. Aby mogło ono zostać wyświetlone, wiadomość musi zostać uwierzytelnieniona przez system DMARC, co zapewnia, że nadawca nie podszył się pod domenę firmy.

Mechanizmy potwierdzania autentyczności maili nie rozwiązują problemu całkowicie – jeśli cyberprzestępcy uzyskają kontrolę nad kontem email, mogą wysłać list, którego autentyczność zostanie potwierdzona. Istotnie ograniczają jednak pole ataków, ponieważ przejęcie konta, zwłaszcza, gdy jest ono dodatkowo zabezpieczone przez dwuskładnikowe uwierzytelnianie lub mechanizmy analizy zachowań użytkownika, jest zadaniem trudnym i kosztownym. Dlatego warto pomyśleć o wdrożeniu protokołów SPF, DKIM i DMARC do blokowania maili mających sfałszowane adresy, a także mechanizmów dwuskładnikowego uwierzytelniania dla wszystkich firmowych kont email.

Business Email Compromise. Nowa era oszustw

Na horyzoncie widać już kolejne zagrożenia rozszerzające zakres zastosowań BEC, bazujące na technicznie zaawansowanych formach ataków wykorzystujących mechanizmy sztucznej inteligencji.

Firmy często publikują na stronach internetowych wywiady lub prezentacje z menedżerami. Nagrania takie umożliwiają analizę ich głosu i artykulacji oraz stworzenie plików audio zawierających fałszywe wypowiedzi danej osoby. Gdy pracownik dostanie maila ze szczegółami dotyczącymi pilnego przelewu, a po chwili odbierze ponaglający telefon od dyrektora, którego głos dobrze zna, najpewniej wykona polecenie.

To nie fikcja – odnotowano już przynajmniej trzy takie ataki, które spowodowały straty liczone w milionach dolarów. We wszystkich schemat działania był podobny. Jeden z pracowników działu finansowego odbiera telefon od dyrektora, który mówi: „Dziś jest koniec naszego kwartału i przelew powinien wyjść w ciągu godziny. To bardzo ważne. Musimy zapłacić dostawcy przed zamknięciem kwartału”. W przypadku jednej z zaatakowanych w ten sposób firm na konto cyberprzestępców przelane zostało 10 mln dol.

Następnym krokiem w wykorzystaniu sztucznej inteligencji do oszustw będzie zapewne generacja awatarów upodobnionych do wybranej osoby (już dziś w sieci dostępnych jest mnóstwo nagrań wideo przerobionych z użyciem technologii Deep Fake – to sposób obróbki obrazu polegający na łączeniu obrazów twarzy dwóch osób). Wówczas komunikacja stanie się jeszcze bardziej przekonująca. Nie tylko usłyszymy głos prezesa lub dyrektora finansowego, ale go zobaczymy.