Hvorfor lykkes BEC (Business e-mail Compromise) angrep?

Oppdatert: juli 1

En ny rapport fra Microsoft viser at antall spear-phishing angrep har doblet seg siste året. Angrepene har blitt så sofistikert og treffsikre at Microsoft ofte kaller disse «laser» phishing.


I april 2019 kunne man lese i en rapport fra Agari at London Blue, en av de mest beryktede BEC hacking grupper i verden, hadde i løpet av 2018 og 2019 utvidet sin database med mer enn 50 000 kontaktopplysninger til toppledere og samtidig finslepet sine hacking teknikker.


I løpet av en fem måneders periode i 2018, var hackergruppen i stand til å generere en liste på over 50 000 ledere og personer i maktposisjoner. En slik liste brukes til å forberede seg for fremtidige phishing-kampanjer. Omtrentlig 70 prosent av databasen var CFO'er (Chief Financial offiser), mens resten var assistenter og andre i lederens umiddelbare nærhet.


I følge rapporten har gruppen et bredt spekter av mål i forskjellige sektorer og bransjer, fra små bedrifter til store konsern. Hva verre er, er at kampanjene deres vanligvis ikke inneholder malware, noe som gjør det nesten umulig for vanlige sikkerhetstiltak å oppdage angrepene.


Gruppen ble først oppdaget av selskapet Agari i desember 2018. Hacking gruppen, som benytter målrettede phishing-kampanjer for å lure ledere til å overføre penger til egne kontoer, er drevet profesjonelt og opererer som et moderne selskap.


De har en ledelse som opptrer som CxO og bærer rollen på samme måte som en hvilken som helst annen toppleder. Gruppens medarbeidere har definerte roller og funksjoner inkludert forretningsintelligens lead generering, salgsledelse med typiske KAM oppgaver, e-post markedsførere, (for eksempel tilpasset BEC angrep), og HR avdeling som tar seg av rekruttering av egne "muldyr" og hvitvaskere.


London Blue har tatt den grunnleggende teknikken for spear-phishing (hvor man bruker spesifikk kunnskap til offerets relasjoner og bevegelsesmønster til å sende en svindel e-post), og gjort det til massive BEC kampanjer.

Konvensjonelle spear-phishing angrep (målrettet phishing) innebærer tidkrevende undersøkelser hvor man samler informasjonen som trengs for at angrepet skal være vellykket. Man må identifisere personer med tilgang til å flytte midler, deres bruksmønster, deres nærmeste og betrodde medarbeidere, lære hvordan å kontakte dem, og lære de organisatoriske hierarkier.


Effektiviteten til London Blue kommer av at de benytter profesjonelle tredjeparter som for eksempel kommersielle datameglere (brokers), og tjenester fra lead generatorer, som setter sammen ferdige kvalitetssikrede lister over toppledere (potensielle offer) rundt om i verden. Ved å kombinere kommersielt tilgjengelige verktøy og tjenester med kriminell taktikk, er angriperne således i stand til å levere målrettede angrep på selskaper av alle størrelser. Angrepene kan dessuten ha volumet til en typisk spam-kampanje, men med presisjonen til et spear-phishing-angrep.


En annen grunn til deres kriminelle suksess er at etter at gruppen først ble oppdaget, har London Blue endret sine angrepsmetoder for å forbedre suksessraten.


Der de tidligere har brukt gratis og midlertidige e-postkontoer, og gjerne med et navn som offeret kjenner til, og sent krav om betaling til falske leverandører, benytter angriperne nå heller en forfalsket e-postadresse (spoof e-mail) som etterligner selskapets leders egen e-post adresse til minste detalj. Til og med uttrykksform og ordbruk er tatt hensyn til. Oftest sender hackerne e-poster til myndighetspersoner med tilgang til kontoer og gjerne i forbindelse med fusjoner og oppkjøp. Hver e-post som ber om en pengeoverføring er nøye tilpasset for å fremstå som en ordre fra en toppleder i selskapet. Slik forsøker de å lure offeret til å sende en større betaling direkte fra offerets forretningskonto- først til èn konto, som senere, gjennom et nettverk av overføringer, går via mange kontoer i forskjellige land før den ender opp hos hackerne.


De siste årene har BEC raskt økt i omfang , og er en av de mest effektive e-post svindel mettoder i dag. Rapporten fra Agari viser at London Blue sine kampanjer produserer 3,97 ofre per 100 e-post sent.


Beazley Breach Respons Services sine undersøkelser fant at BEC utgjorde halvparten av hacking og malware angrep i 2018, mens Barracuda fant at Cyberangrep har forårsaket mer enn $12 500 000 000 i tap siden 2013.


AI Sikkerhetsløsninger kan hjelpe der andre verktøy ikke er effektive.

Effektive verktøy som motarbeider BEC inkluderer DMARC-autentisering og rapportering, proaktive undersøkelser, og multi-faktor autentisering.


Tradisjonelle sikkerhetsverktøy kan være ineffektiv på å oppdage disse svært målrettede kampanjene, blant annet fordi de ikke angriper selve sikkerhetssystemene ei inneholder skadevare i selve e-posten. Det bemerkes fra Agari og flere at AI sikkerhetsløsninger kan hjelpe organisasjoner analysere og identifisere normale bruksmønstre, og derav oppdage eventuelle uregelmessigheter. AI systemer vil automatisk alarmere sikkerhetsansvarlige slik at maskiner kan isoleres eller logges av og man forhindrer spredning.


Paratum Consulting leverer produkter og tjenester innen Governance, Risk & Compliance.

Vi har markedets ledende verktøy fra Jazz Networks for overvåking og beskyttelse av endepunkter. Gjennom AI og ML samt opplæring og trening av ansatte innenfor selskapets policyer, lover og regler, beskytter Jazz Networks mot Phishingangrep, BEC svindel, malware, uønsket adferd av brukere på maskinen og mye mye mer.


Vil du ha en demo eller ønsker å gratis prøve Jazz Platform i ditt miljø, ta kontakt med oss på info@paratumconsulting.com eller ring for en uforpliktende prat.


Paratum Consulting AS

Postboks 320

2303 Hamar

ParatumConsulting © 2018 -  all rights reserved

  • Facebook Basic Black
  • LinkedIn Basic Black