Hvordan identifisere og forebygge BEC (Business e-mail compromise)



Stadig oftere hører vi om Phishing angrep mot bedrifter. Slike angrep er ofte svært vellykket og koster selskapene store summer. La oss derfor se på årsaken til at de lykkes og hva vi kan gjøre for å beskytte oss.

Business e-mail compromise (BEC) angrep rammer organisasjoner over hele verden. Et typisk BEC angrep innebærer at angriperen etterligner en toppleders e-post og sender e-post til en rekke ansatte hvor han/hun ber om overførsel av penger.

Før angriperen starter en vellykket angreps prosess, overvåker angriperen den kompromittert e-postkontoen til den aktuelle topplederen over tid. Slik lærer angriperen seg kommunikasjonsvaner, selskapets rutiner, prosesser og prosedyrer.

En slik grundig forståelse av selskapets rutiner og enkeltpersoners handlemønster får svindelen til å fremstå mindre åpenbar, og falske e-poster ser ut til å være legitime.

Det vil være nødvendig å investere i teknologi som kan oppdage og varsle brukerne om truslene kontinuerlig, kombinert med teknologi som automatisk isolerer maskinen, låser brukeren eller på annen måte forhindrer angriperen i å lykkes.

Utviklingen av BEC angrepsteknikker

Tidligere BEC angrep var oftest en e-post fra leder til ansatt, men etter hvert har fokuset skiftet til å involvere andre kjente forretningsforbindelser også. De nye BEC angrepene involverer gjerne HR ansatte, underleverandører, advokater eller andre betrodde kontakter selskapet har.


For eksempel ble en kunde av et regnskapshus på Østlandet nylig svindlet da regnskapsfører mottok en e-post fra sin kunde med beskjed om å overføre penger fra en konto regnskapsfører hadde tilgang til. Kunden var på ferie og ante ingenting, men kom hjem til nær sagt tom konto. Tapet var på flere hundre tusen.


Et annet eksempel involverte en administrerende direktør i et uidentifisert sveitsisk selskap som lå i forhandling om kjøp av eiendom. Administrerende direktør ble svindlet for nesten $1 000 000 etter at svindleren sendte e-poster som syntes å komme fra en betrodd. E-postene ble utformet på en slik måte at administrerende direktør trodde at han kommuniserte med eiendomselgerens advokat.


For å få raske klikk, inneholder phishing e-post oftest emnelinjer som gir mottakeren en følelse av at det haster. Noen av de svært ofte brukte emnelinjer som er rapportert er:

  • Bekreftelse av (Krav om nytt) passord kreves umiddelbart

  • De-aktivering av [[email]] pågår

  • Haster - Viktig melding til alle ansatte /(eller pressemelding)

  • Du har en ny talepost

  • Sikkerhetskopier dine e-poster

Hvordan identifisere BEC angrep?


  • Ansatte må kontrollere rettskriving av avsenderens e-postadresse grundig før de svarer på e-posten. Ofte vil svindlere legge en "ekstra" bokstav til e-postadressen, som vanligvis går ubemerket igjennom hos mottakerne. Dette er et stort rødt flagg og en indikasjon på et BEC angrep.

  • BEC svindel utnytter våre menneskelige svakheter og feil. Implementering av robuste kommunikasjons retningslinjer med flere sjekkpunkter og kontroll regime rundt disse kan bidra til å identifisere svakheter og feil og beskytte organisasjoner mot angrep.

  • Et tiltak kan være Privileged Access Management (PAM): En prosess hvor man kan gi rettigheter kun når det er behov for det. Og eller «separation of duties». Slik unngår man at en hacker bare ved å stjele e-post og passord lykkes med å få overført penger.

  • Implementering av e-post autentiseringsstandarder som SPF, DKIM og DMARC hjelper også organisasjoner til å oppdage forfalskede avsenderadresser ved e-post mottak.


Kan man i tillegg bruke et slikt verktøy til å aktivt lære ansatte riktig bruk av data, holde de oppdatert på lover, regler og rutiner samtidig som man aktivt forhindrer de å bryte disse, så har man spart både tid og penger på opplæring samtidig som man har sikret bedriften.

Konklusjon


Et selskaps ansatte er den første og viktigste forsvarslinje mot BEC angrep. Opplæring av ansatte i å kjenne igjen tegn til Phishing, og implementering av organisatoriske tiltak og rutiner er en god investering. Men dessverre er vi både glemsomme og uforsiktige og rutiner brytes hver dag. Det er for mange ting som skal huskes. Verktøyene og metodene til angriperen endrer seg dessuten raskere enn vi klarer å holde våre ansatte og ledere oppdatert. Det vil derfor være nødvendig å investere i teknologi som kan oppdage og varsle brukerne om truslene kontinuerlig, kombinert med teknologi som automatisk isolerer maskinen, låser brukeren eller på annen måte forhindrer angriperen i å lykkes. Kan man i tillegg bruke et slikt verktøy til å aktivt lære ansatte riktig bruk av data, holde de oppdatert på lover, regler og rutiner samtidig som man aktivt forhindrer de å bryte disse, så har man spart både tid og penger på opplæring samtidig som man har sikret bedriften.



Paratum Consulting AS forhandler Jazz Platform fra Jazz Networks. Markedets eneste verktøy som kombinerer "threat detection & response", med policy-drevet opplæring av ansatte. Verktøyet er konfigurerbart, hindrer ansatte i å bryte dine rutiner, støtter opplæring av GDPR, NISD, AUP, IT-Policy, lover og regler, og virker selv om maskinen er off-line.


Book et møte med oss på Info@paratumconsulting.com i dag for en uforpliktende demo eller be oss om en gratis test i din organisasjon.





Paratum Consulting AS

Postboks 320

2303 Hamar

ParatumConsulting © 2018 -  all rights reserved

  • Facebook Basic Black
  • LinkedIn Basic Black