Cea din urmă metodă poartă numele de business email compromise (BEC) şi este una din cele mai costisitoare ameninţări cibernetice la nivel mondial. Potrivit asigurătorului american AIG, BEC a întrecut ransomware în topul celor mai costisitoare ameninţări de tip cibernetic la adresa companiilor asigurate pentru astfel de incidente. De ce e această ameninţare atât de periculoasă?
Ce este BEC şi cum funcţionează
Operatorii din spatele BEC sunt infractori informatici meticuloşi care îşi fac temele cu mult timp înainte de a lovi. Aşa cum sugerează şi denumirea, se caracterizează prin compromiterea unui cont de e-mail, de regulă al unui angajat cu poziţie de importanţă strategică în organizaţie. Atacatorul îşi studiază victima folosind din surse deschise (comunicate de presă, reţele de socializare, etc) informaţii publice despre ea şi despre compania la care lucrează. Acesta foloseşte apoi diferite metode de inginerie socială pentru a obţine acces la contul de mail al directorului vizat. Înainte să lanseze atacul propriu-zis, hackerul pândeşte în linişte studiind atent conversaţiile cu persoane din diferite departamente, în special cel financiar, pentru a vedea cum poate să imite cât mai veridic „vocea” în scris a şefului. Apoi trimite un mail în numele directorului către departamentul financiar solicitând un transfer de bani, de exemplu, către un furnizor sau partener sau pentru o situaţie neprevăzută ce trebuie tratată în regim de urgenţă. Iar angajaţii păcăliţi fac transferul fără să ştie că banii de fapt se duc într-un cont controlat de atacator.
Din înţelepciunea celor care au păţit-o
Uneori e suficient ca atacatorul doar să imite o adresă de mail pentru a păcăli destinatarul. Acest lucru s-a întâmplat în 2016 la filiala locală a producătorului german de cabluri pentru industria auto Leoni AG. După ce au studiat bine compania şi procedurile interne, atacatorii au contactat directoarea financiară din România cu un mesaj trimis de pe o adresă de mail similară cu cea a CEO-ului companiei-mamă din Germania, solicitând un transfer urgent de 40 de milioane de euro. Nu a trecut mult timp până când directoarea s-a conformat şi a aprobat transferul. Abia câteva zile mai târziu compania realiza că fusese victima unei scheme BEC. Odată făcută publică eroarea, acţiunile companiei au coborât cu 14%, reducând considerabil valoarea companiei la bursă. De ce au ţintit atacatorii tocmai sucursala românească a grupului? Pentru că era singura autorizată să efectueze transferuri bancare în numele companiei. O nouă dovadă care arată cât de meticulos şi-au cercetat atacatorii victimele.
Un alt exemplu notabil este incidentul de la compania americană de agricultură Scoular Corporation petrecut în 2014. Aproape identic cu incidentul de la Leoni AG, acest atac s-a folosit de un mail pretinzând a fi de la CEO-ul firmei în care se solicita unui angajat de la financiar pe nume Keith un transfer de 17 milioane de dolari pentru a impresiona nişte viitori parteneri din China: „Trebuie să finanţăm bine compania pentru a le arăta chinezilor puterea noastră. Keith, nu voi uita profesionalismul tău în acest deal şi îmi voi arăta aprecierea faţă de tine cât de curând”.
Desigur, mesajul nu provenea de la CEO, ci de la un atacator anonim care reuşise să se infiltreze în reţeaua companiei. Observăm cum atacatorii se folosesc inclusiv de şiretlicuri psihologice, precum măgulirea şi promiterea unor beneficii ca să convingă victima să efectueze transferul bancar.
Într-un incident mai recent, atacatorii s-au folosit nu de e-mail, ci de telefon pentru a imita literalmente vocea şefului cu scopul de a solicita un transfer urgent. Acest atac a încorporat tehnologie „deep fake,” care foloseşte inteligenţa artificială pentru a produce sunete sau imagini superficial autentice pentru urechea şi ochiul uman.
O afacere de zeci de miliarde
Atacurile de acest tip devin din ce în ce mai comune. Potrivit Reţelei de Executare a Crimelor Financiare – o divizie a Trezoreriei Statelor Unite – operatorii BEC au fraudat 21,5 miliarde de dolari în ultimii şase ani numai de la companii americane. Acelaşi raport spune că numărul reclamaţiilor referitoare la BEC au crescut de la 500 pe lună în 2016 la 1.100 pe lună în 2018, deci o dublare în doar doi ani.
Păşind în 2020, recomandarea specialiştilor în securitate informatică este ca toate companiile, mici şi mari, să implementeze autentificarea în doi paşi pentru accesul la mail şi aplicaţii interne şi să adopte protocoale stricte pentru depistarea mailurilor suspecte, inclusiv cursuri de pregătire a angajaţilor privind tentativele de fraudă.