Spam, phishing a malwarové kampaně – tato trojka e-mailových hrozeb je tu s námi již několik desetiletí. V posledních letech však vidíme raketový nárůst další hrozby, kterou je tzv. BEC – business e-mail compromise, což je pojem pokrývající různé podvodné e-maily zejména v podnikovém prostředí.

Za tímto obecným popisem se skrývá 5 hlavních typů útoků:

1. CEO fraud – u tohoto typu útoku se útočník vydává za CEO, finančního ředitele či člověka v podobné pozici ve firmě a žádá e-mailem o co nejrychlejší vyplacení částky na, nejčastěji, zahraniční účet. Organizační struktura bývá identifikována z veřejně dostupných informací a požadavky přicházejí z podvržených e-mailových adres.
2. Falešné faktury – nejčastěji se s ním setkáváme u společností se zahraničními dodavateli, kde se útočník vydává za zahraničního dodavatele a žádá vyplacení faktury na neobvyklý účet. Takový požadavek zdůvodňuje např. problémy s bankou, či změnou účtu. Častokrát se vydává za obě strany – za objednatele při komunikaci s dodavatelem a naopak, na co používá buď různé freemailové služby nebo přímo hacknuté účty komunikujících stran.
3. Zneužití účtu – jde o různé finanční požadavky z prolomených účtů zaměstnanců různých dodavatelů. Bývá často kombinované s prvními dvěma typy, čímž ještě umocňuje důvěryhodnost požadavků útočníka.
4. Vydávání se za právníky – modus operandi je podobný jako u CEO fraud, ale tentokrát se útočník vydává za zástupce právníků a požaduje vyplacení nějaké částky nebo poskytnutí citlivých dat, či osobních údajů.
5. Krádež dat – tento typ útoku má typicky za cíl zaměstnance oddělení HR, od kterých požaduje různé informace o ostatních zaměstnancích, případně se útočník snaží prolomit jejich účty a tyto přístupy nebo poskytnutá data využít pro další útoky proti organizaci.

Společným znakem BEC útoků, podobně jako u phishingu, je využívání pozice autority a jisté urgence požadavků, které pozorujeme nejčastěji na začátku pracovního týdne, případně na konci pracovní doby, co spolu s urgencí vyjádřenou v e-mailu, cílí na vyvolání nervozity a zvyšuje úspěšnost daného útoku.

Jak se bránit?
Obrana vůči těmto útokům je velmi těžkým úkolem. Jelikož e-maily obvykle neobsahují škodlivý kód a ani nespadají do kategorie spamu, nejsou téměř vůbec zachytitelné standardními bezpečnostními technologiemi pro kontrolu spamu a detekci malwarových kampaní a celá obrana se tak soustředí na ostražitost oběti. Co obranu ještě ztěžuje je to, že na základě objemných úniků přihlašovacích údajů z posledních let, častokrát dochází k prolomení legitimních účtů, z nichž útočníci následně komunikují. Pokud je komunikace ještě v angličtině, oběť vůbec nemusí rozpoznat, že e-mail pochází od někoho jiného.

Kromě standardních bezpečnostních opatření, obecně platí zejména ostražitost a vzdělávání zaměstnanců, aby uměli rozpoznat podezřelý e-mail a správně zareagovat. Velké opodstatnění má i dobré nastavení vnitřních procesů, které mohou zabránit CEO fraud tím, že vynutí ověření platby dalším člověkem.

Velmi důležité, zejména u falešných faktur, je si požadované platby, či změnu platebních údajů ověřit telefonicky na oficiálním kontaktu dodavatele a to tak, abychom kontakt iniciovali my, protože u příchozího hovoru lze podvrhnout číslo volajícího. Toto platí i u telefonických požadavků na různé osobní údaje, doklady, platby apod. Stačí jednoduše zavolat zpět na oficiální číslo druhé strany.

Dalším varovným znakem, se kterým máme zkušenost, je, že útočník vydávající se za dodavatele oběť najednou kontaktuje, jakoby ze své soukromé adresy, ze které pokračuje v komunikaci. Také je dobré, se při podezřelých emailech zaměřit na specifika daného dodavatele – např. státní svátky v zemi, adresy skladů apod., na základě čehož je možné odhalit, že se za dodavatele někdo vydává.

Technickým prostředkem, který by umožňoval potvrdit, že e-mail opravdu pochází od správné osoby, je nasazení technologie na digitální podepisování e-mailů a vynucení používání digitálního podpisu u e-mailů obsahujících různé rizikové požadavky. Na druhé straně však stojí poměrně velká náročnost takových technologii na nasazení a správu a snížený komfort při jejím používání, zejména při využívání e-mailu z mobilních zařízení, a také to, že většina protistran touto technologií nebude vůbec disponovat.

Co dělat, když jsem se stal obětí?

Pokud jste se stali obětí podobného útoku, vaší jedinou nadějí je, že banka platbu zablokuje, případně ji nějakým způsobem dokážete vrátit zpět. V posledních letech se na trhu také objevují pojistné produkty zaměřené přesně na škody způsobené těmito útoky. I přesto, že jde o škody v řádech tisíců až desetitisíců eur, je i pro policii prakticky nemožné vypátrat útočníka a přimět ho peníze vrátit, protože jde o případy zasahující hned několik jurisdikcí – dodavatel je v jednom státě, e-mailová služba v dalším a účet útočníka ještě v jiném státě. Častokrát celý případ skončí tak, že policie trestní oznámení ani nepřijme a oběť zůstane s „dlouhým nosem“. I v případě, že vyšetřování vůbec začne, je jen málo pravděpodobné, že oběť své peníze v dohledné době uvidí, pokud vůbec.

Z výše uvedeného vyplývá, že pro útočníky jde o výborný zdroj výdělku s minimálním rizikem. Z naší zkušenosti zase víme, že se tyto útoky nevyhýbají ani českým či slovenským firmám a jsou častokrát úspěšné. Je proto důležité být opatrný a raději podezřelé požadavky dodatečně prověřit. Jedno zvednutí telefonu může ušetřit tisíce eur.

Dávid Kosť, Lead Security Analyst, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.