Tylko przez ostatnie 3 lata globalna warto?? strat poniesionych przez zaatakowane metod? BEC przedsi?biorstwa wzros?a o 136% i osi?gn??a poziom 12,5 miliarda dolarów. Business Email Compromise i nale??cy do tej grupy CEO Fraud, czyli oszustwo “na prezesa”, to jedne z ulubionych i najskuteczniejszych metod wykorzystywanych przez cyberprzest?pców.
Straty poniesione przez firmy na ca?ym ?wiecie, które pad?y ofiar? BEC – Business Email Compromise, przekroczy?y warto?? 12,5 miliarda dolarów, alarmuj? analitycy ameryka?skiej agencji bezpiecze?stwa FBI. W rzeczywi?ci liczba ta mo?e by? znacznie wy?sza, poniewa? analizie poddano wy??cznie 78,617 firm, które zg?osi?y incydenty do odpowiednich organów. Nie wiadomo jak wielu przedsi?biorców zatai?o ten fakt, chroni?c si? przed mo?liwymi konsekwencjami i stratami wizerunkowymi. Szczególnie, ?e zgodnie z danymi FBI, zg?aszaj?cy odzyskali jedynie 4% utraconych kwot.
Jak wygl?da schemat ataku metod? CEO Fraud?
Rzecz zaczyna si? od uzyskania dost?pu do e-maila prezesa, z którego wysy?ane s? zlecenia przelewów. Drugim krokiem jest kradzie? wra?liwych danych firmowych, dzi?ki którym takie oszustwo mo?na uwiarygodni?, np. poprzez pos?u?enie si? danymi faktycznych dostawców lub powo?anie si? na zaleg?e faktury. Przeprowadzenie ataku socjotechnicznego umo?liwiaj?cego zdobycie takich informacji jest prostsze ni? si? wydaje, o czym kilka dni temu przekona? si? Tomasz Szpikowski, CEO TestArmy Group S.A.:
W?a?nie jecha?em na spotkanie z zarz?dem du?ego koncernu motoryzacyjnego w ich wroc?awskiej siedzibie. Po drodze, rzecz trywialna, roz?adowa? mi si? telefon. W samochodzie mia?em kabel USB, ale bez adaptera pozwalaj?cego na pod??czenie do gniazda zapalniczki. “Ford niestety ?aduje s?abo, ciekawe co by na to powiedzia? Lee Iacocca”, pomy?la?em… Dojecha?em na miejsce, wszed?em do g?ównego holu, gdzie zosta?em przywitany przez asystentk? prezesa. Kiedy zapyta?a, czy mo?e w czym? pomóc, odpowiedzia?em, ?e owszem, roz?adowa? mi si? telefon, a przy sobie mam wy??cznie kabel USB. Asystentka wzi??a telefon i nie maj?c adaptera, podpi??a go do swojego s?u?bowego laptopa w sekretariacie zarz?du.
Co by si? sta?o, gdyby dyrektor okaza? si? cyberprzest?pc??
Gest asystentki by? mi?y i uczynny, ale gdyby Tomasz Szpikowski by? cyberprzest?pc?, a telefon by?by skonfigurowany tak, aby natychmiast po pod??czeniu zainfekowa? urz?dzenie oprogramowaniem daj?cym do niego zdalny dost?p, móg?by zrobi? wszystko. Skopiowa? wszystkie e-maile wymieniane mi?dzy central? firmy a innymi placówkami i klientami. Zaszyfrowa? dokumenty, pobra? dane biznesowe, faktury, informacje o pracownikach. Zna?by wewn?trzne procedury, polityk? wynagrodze?, bud?ety czy strategi? rozwoju firmy. Nie trzeba dodawa?, na jakie straty firma by si? narazi?a, gdyby takie dane znalaz?y si? w niew?a?ciwych r?kach.
Pami?tajmy, ?e cz?owiek jest najs?abszym ogniwem systemu bezpiecze?stwa, cho? najcz??ciej nie z w?asnej winy. To zarz?d firmy jest odpowiedzialny za wprowadzanie procedur walki z atakami socjotechnicznymi i odpowiednie przeszkolenie pracowników. Je?li tego nie zrobi, biznes b?dzie stale nara?ony, a menad?erowie i dyrektorzy, którzy trzymaj? klucze do wirtualnie przechowywanych wra?liwych danych, b?d? ?atwym celem dla cyberprzest?pców – t?umaczy Tomasz Szpikowski.
Ekspert podkre?la, ?e praktycznie ka?dy gad?et mo?e otwiera? drzwi do strategicznych danych elektronicznych, tak samo smartfon, pendrive, transmiter do klawiatury, adapter do rzutnika, jak i inne pod??czane do komputerów akcesoria. Przeprowadzone przez TestArmy CyberForces testy pokaza?y, ?e luki w systemach bezpiecze?stwa ma a? 5 na 10 popularnych urz?dze? IoT.
Jak cyberprzest?pcy wykorzystuj? CEO Fraud?
Gdy cyberprzest?pca zyska dost?p do e-maila dyrektora, ma pe?ne spektrum mo?liwo?ci.
Gdy w?amanie dotyczy firmy wspó?pracuj?cej z zagranicznym dostawc?, mo?e wykorzysta? d?ug? relacj? biznes-dostawca. Maj?c dost?p do historii przelewów, wysy?a? e-mailem pro?by o zmian? rachunku, na który kierowane s? pieni?dze. Poniewa? adres e-mail b?dzie si? zgadza?, odbiorca nie b?dzie podejrzewa?, ?e ca?a sytuacja jest oszustwem.
Gdy w?amanie dotyczy firmy zlecaj?cej du?e ilo?ci przelewów, podstawiony “dyrektor” mo?e zleci? w?asnym pracownikom czy instytucji finansowej obs?uguj?cej firm? przes?anie ?rodków na podany numer konta.
Gdy w?amanie dotyczy firmy wspó?pracuj?cej z zewn?trznym doradc? podatkowym lub adwokatem, przest?pca mo?e wys?a? pro?b? o wype?nienie papierów podatkowych, do których ma dost?p, albo o przekazanie szczegó?owych i poufnych danych pracowników.
Ciekawe – najdro?szy rozwód w historii zacz?? si? od zhackowanego telefonu
A dotyczy? najbogatszego cz?owieka na ?wiecie – Jeffa Bezosa, CEO Amazona. Przyczyn? rozwodu by? romans Bezosa z Lauren Sanchez, który nag?o?niono dzi?ki wyciekowi ich prywatnej korespondencji. Osobisty ochroniarz Bezosa, zajmuj?cy si? jego cyberbezpiecze?stwem, opisa? ca?? sytuacj? w dzienniku The Daily Beast. Przyzna?, ?e cho? brak na to twardych dowodów, wszystko wskazuje na to, ?e za wyciekiem stoi rz?d Arabii Saudyjskiej, który zhackowa? telefon Bezosa i ujawni? zdobyte dane American Media Inc. i gazecie National Enquirer. Bezos, którego maj?tek wyceniany by? na prawie 160 miliardów dolarów, w wyniku rozwodu odda? by?ej ?onie 36 miliardów dolarów.
Takie sytuacje u?wiadamiaj?, ?e cyberbezpiecze?stwo to sektor dotycz?cy nie tylko sfery zawodowej. Coraz cz??ciej dyrektorzy firm, osoby wysoko postawione, maj?tne decyduj? si? na rozszerzenie ochrony z firmy tak?e na w?asn? rodzin?, chc?c zabezpieczy? swoich bliskich, inteligentne domy, w których mieszkaj? i inteligentne urz?dzenia, z których korzystaj? na co dzie? – podsumowuje Tomasz Szpikowski.
W cyfrowym ?wiecie nikt nie jest bezpieczny, a cz?onkowie zarz?dów firm wyj?tkowo bole?nie przekonuj? si? o tym, jak wyciek wra?liwych informacji mo?e narazi? ich na olbrzymie straty. Problem jest szczególnie istotny, poniewa? zgodnie z raportem Verizon DBIR 2019, osoby posiadaj?ce przywileje wykonawcze i dost?p do wielu zastrze?onych, cz?sto krytycznych rejonów infrastruktury informatycznej s? obecnie 12 razy bardziej nara?eni na atak socjotechniczny ni? jeszcze rok temu.
