Direktorska ili BEC prevara je, uprkos podizanju svesti, i dalje velika pretnja koja svakodnevno odnosi nove žrtve. Sajber kriminalcima nije bitno kojim se poslom bavite, jedino im je bitno da imate novca (po mogućstvu, puno) i da postoji ranjivost koju mogu da eksploatišu.
4 glavne tehnike BEC prevare
Jedna od najvećih zabluda u vezi ove prevare je da se ona obavlja samo direktnim napadom na vaše email okruženje. Istina je da, ukoliko je email okruženje vašeg dobavljača kompromitovano, napadači mogu da preusmere vaše uplate ka dobavljaču na svoj račun, a tada njihov BEC problem postaje i vaš problem.
BEC napadači konstatno unapređuju tehnike i metode napada, a najčešće srećemo sledeće: oponašanje dobavljača, oponašanje rukovodioca, prikupljanje kredencijala i eksploatisanje ID-ja korisnika ili email adresa. Oponašanje dobavljača je kada vam napadač pošalje email sa fakturom na kojoj se nalazi njihov umesto računa dobavljača ili email u kome se nalazi zahtev za promenom računa koji navodno stiže od dobavljača. Oponašanje rukovodioca najčešće podrazumeva hitan zahtev za promenom računa koji navodno stiže od nekog rukovodioca kompanije (CEO i sl). Ovi zahtevi stižu sa email adresa koje na prvi pogled deluju legitimno i koje nije uvek lako razlikovati od pravih.
Često se napadi dešavaju uoči velikih praznika, kada je šansa da su iskusniji zaposleni van kancelarija, odnosno kada zaposleni sa manje iskustva dođu u situaciju da moraju da odluče da li da postupe po zahtevu direktora ili da se o njega ogluše.
Napadači koji su dobili pristup mejlovima dobavljača i zatim prikupili kredencijale za njihove naloge na sajtovima kupaca i portalima dobavljača mogu direktno da unesu promene računa na datim nalozima. Prikupljanje kredencijala nosi veliki rizik zbog toga što mnogi portali sa informacijama o dobavljačima ne primenjuju sofisticiranu zaštitu naloga poput multifaktorske autentifikacije. Za uspeh napada u velikoj meri su zaslužne brojne, detaljne informacije koje napadači prikupe; zbog njih je žrtva sklonija da poveruje da se radi o legitimnom zahtevu.
Neke kompanije koriste generičke email adrese za komunikaciju sa kupcima, a koriste ih i kao login ID za portal sa informacijama o dobavljačima. U tom kontekstu, posebnu opasnost mogu predstavljati zaposleni koji nezadovoljni odlaze iz kompanije. U trenutku odlaska ili čak i neko vreme nakon odlaska, oni u nekim slučajevima i dalje imaju pristup email nalozima i portalima, što znači da mogu da upute zahtev za promenu računa. Posebno je nezgodno što takav zahtev stiže legitimnim kanalom, tako da ga je mnogo teže identifikovati i sprečiti.
Bilo je slučajeva u kojima je tajming BEC napada ukazivao na to da su insajderi umešani. U tim slučajevima, upućivani su zahtevi za promenom računa baš u danima u kojima je bilo velikih plaćanja, a često i u situacijma kad ključne osobe zadužene za kontrolu plaćanja nisu bile prisutne na poslu.
Osumnjičeni u BEC napadima su: insajderi iz kompanije dobavljača, kupca ili napadači koji su dobili pristup platnim nalozima preko sistema dobavljača ili kupca. Zabeleženo je više slučajeva saradnje insajdera i autsajdera u sprovođenju BEC prevare.
Zaposleni u nabavci, blagajni, sektor zadužen za plaćanja itd. bi trebalo da imaju redovne obuke o online prevarama. Međutim, zbog toga što većina BEC prevara u koje su uključeni insajderi kreće iz računovodstva, preporuka je da posebnu obuku prođu zaposleni zaduženi za kontrolu promena računa. Drugim rečima, nije potrebno da svi koji su uključeni u proces plaćanja budu upućeni i u sve mehanizme kontrole, jer poznavanje mehanizama kontrole može omogućiti insajderu da uspešno izvrši prevaru.
Šta možemo očekivati u budućnosti?
Kada je pre nekoliko godina BEC prevara počela da uzima maha, mnoge kompanije su je dočekale nespremne. Neki CyberSec stručnjaci smatraju da će kriminalci u godinama pred nama sve više koristiti nove tehnologije, poput deepfake video i audio. Zbog toga će tradicionalni mehanizmi kontrole kod zahteva za promenom računa, kao što je telefonski poziv dobavljaču, postati nebezbedni. U takvim okolnostima, za očekivati je da će sve više kompanija prestati da koriste tradicionalne kanale za proveru ovakvih zahteva (telefon, email, faks, pošta...) i prihvatati samo zahteve koji se podnesu preko bezbednih portala. To će dalje dovesti do pokušaja da se kompromituju kredencijali na portalima dobavljača gde nisu implementirane odgovarajuće kontrole u skladu sa pretnjom, kao što je multifaktorska autentifikacija, bele i crne liste email domena, IP adresa i sumnjivih banaka, praćenje šablona ponašanja korisnika kako bi se identifikovale sumnjive aktivnosti itd.
Preporuka za sprečavanje BEC pretnje svima na CISO poziciji u kompanijama je da implementiraju najnovije dostupne kontrole, kao i one koje se manje oslanjaju na ljudski faktor. U kontrole spada sve, od praćenja šablona ponašanja korisnika do validacije vlasništva računa u banci, a validaciju zahteva za promenom računa treba obaviti u realnom vremenu u sistemu banke kako bi kupac bio siguran da je to zaista račun dobavljača. Za najviši nivo bezbednosti, najbolje je proces validacije direktno integrisati u zahtev za promenu računa i proces odobrenja.
Izvor: Help Net Security