Jeśli to prezes, to jego urządzenia są bezpieczne...

06-08-2019, 13:59

Tylko przez ostatnie 3 lata globalna wartość strat poniesionych przez zaatakowane metodą BEC przedsiębiorstwa wzrosła o 136% i osiągnęła poziom 12,5 miliarda dolarów. Business Email Compromise i należący do tej grupy CEO Fraud, czyli oszustwo “na prezesa”, to jedne z ulubionych i najskuteczniejszych metod wykorzystywanych przez cyberprzestępców.

Straty poniesione przez firmy na całym świecie, które padły ofiarą BEC - Business Email Compromise, przekroczyły wartość 12,5 miliarda dolarów, alarmują analitycy amerykańskiej agencji bezpieczeństwa FBI. W rzeczywiści liczba ta może być znacznie wyższa, ponieważ analizie poddano wyłącznie 78,617 firm, które zgłosiły incydenty do odpowiednich organów. Nie wiadomo jak wielu przedsiębiorców zataiło ten fakt, chroniąc się przed możliwymi konsekwencjami i stratami wizerunkowymi. Szczególnie, że zgodnie z danymi FBI, zgłaszający odzyskali jedynie 4% utraconych kwot.

Panu w garniturze się nie odmawia

Jak wygląda schemat ataku metodą CEO Fraud? Rzecz zaczyna się od uzyskania dostępu do e-maila prezesa, z którego wysyłane są zlecenia przelewów. Drugim krokiem jest kradzież wrażliwych danych firmowych, dzięki którym takie oszustwo można uwiarygodnić, np. poprzez posłużenie się danymi faktycznych dostawców lub powołanie się na zaległe faktury.

Przeprowadzenie ataku socjotechnicznego umożliwiającego zdobycie takich informacji jest prostsze niż się wydaje... Opowiada Tomasz Szpikowski, CEO TestArmy Group S.A.:

Właśnie jechałem na spotkanie z zarządem dużego koncernu motoryzacyjnego w ich wrocławskiej siedzibie. Po drodze, rzecz trywialna, rozładował mi się telefon. W samochodzie miałem kabel USB, ale bez adaptera pozwalającego na podłączenie do gniazda zapalniczki. “Ford niestety ładuje słabo, ciekawe co by na to powiedział Lee Iacocca”, pomyślałem... Dojechałem na miejsce, wszedłem do głównego holu, gdzie zostałem przywitany przez asystentkę prezesa. Kiedy zapytała, czy może w czymś pomóc, odpowiedziałem, że owszem, rozładował mi się telefon, a przy sobie mam wyłącznie kabel USB. Asystentka wzięła telefon i nie mając adaptera, podpięła go do swojego służbowego laptopa w sekretariacie zarządu.

Co by się stało, gdyby dyrektor okazał się cyberprzestępcą?

Gest asystentki był miły i uczynny, ale gdybym był cyberprzestępcą, a telefon byłby skonfigurowany tak, aby natychmiast po podłączeniu zainfekować urządzenie oprogramowaniem dającym do niego zdalny dostęp, mógłby zrobić wszystko. Skopiować wszystkie e-maile wymieniane między centralą firmy a innymi placówkami i klientami. Zaszyfrować dokumenty, pobrać dane biznesowe, faktury, informacje o pracownikach. Znałby wewnętrzne procedury, politykę wynagrodzeń, budżety czy strategię rozwoju firmy. Nie trzeba dodawać, na jakie straty firma by się naraziła, gdyby takie dane znalazły się w niewłaściwych rękach.

Pamiętajmy, że człowiek jest najsłabszym ogniwem systemu bezpieczeństwa, choć najczęściej nie z własnej winy. To zarząd firmy jest odpowiedzialny za wprowadzanie procedur walki z atakami socjotechnicznymi i odpowiednie przeszkolenie pracowników. Jeśli tego nie zrobi, biznes będzie stale narażony, a menadżerowie i dyrektorzy, którzy trzymają klucze do wirtualnie przechowywanych wrażliwych danych, będą łatwym celem dla cyberprzestępców.

Praktycznie każdy gadżet może otwierać drzwi do strategicznych danych elektronicznych, tak samo smartfon, pendrive, transmiter do klawiatury, adapter do rzutnika, jak i inne podłączane do komputerów akcesoria. Przeprowadzone przez TestArmy CyberForces testy pokazały, że luki w systemach bezpieczeństwa ma aż 5 na 10 popularnych urządzeń IoT.

 

Jak cyberprzestępcy wykorzystują CEO Fraud?

Gdy cyberprzestępca zyska dostęp do e-maila dyrektora, ma pełne spektrum możliwości.

  • Gdy włamanie dotyczy firmy współpracującej z zagranicznym dostawcą, może wykorzystać długą relację biznes-dostawca. Mając dostęp do historii przelewów, wysyłać e-mailem prośby o zmianę rachunku, na który kierowane są pieniądze. Ponieważ adres e-mail będzie się zgadzać, odbiorca nie będzie podejrzewać, że cała sytuacja jest oszustwem.

  • Gdy włamanie dotyczy firmy zlecającej duże ilości przelewów, podstawiony “dyrektor” może zlecić własnym pracownikom czy instytucji finansowej obsługującej firmę przesłanie środków na podany numer konta.

  • Gdy włamanie dotyczy firmy współpracującej z zewnętrznym doradcą podatkowym lub adwokatem, przestępca może wysłać prośbę o wypełnienie papierów podatkowych, do których ma dostęp, albo o przekazanie szczegółowych i poufnych danych pracowników.

Autor: Tomasz Szpikowski,  CEO TestArmy Group S.A

  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Listy
Listy  
« Sierpień 2019»
PoWtŚrCzwPtSbNd
 1234
567891011
12131415161718
19202122232425
262728293031