„Ezt az összeget sürgősen át kell utalni!”

Ha ilyen e-mail érkezik egy felsővezetőtől „fontos” megjelöléssel, arra mindig kiemelt figyelmet kell fordítani. De nem biztos, hogy azonnal eleget is kell tenni a felszólításnak: óriási károkat okozhat a cégnek, ha az üzenetet valójában nem a vállalat egyik vezetője, hanem internetes csalók küldték. Az üzleti e-mailekhez kapcsolódó visszaélések (Business Email Compromise, BEC) száma rendkívüli módon megnőtt az elmúlt néhány évben, amint arra a Trend Micro friss jelentése is rávilágít.

Az átverésekkel okozott károk értéke 2016-ban 5,3 milliárd dollárra rúgott, az idei év végéig pedig akár a 9,1 milliárd dollárt is elérheti.

A BEC nem csupán jövedelmező, de egyszerű és a hatékony is – nem árt ha éberek vagyunk

A fentiek miatt ezért töretlen népszerűségnek örvend, különösen azok körében, akiknek nincs megfelelő eszközük vagy tudásuk a bonyolultabb csalások végrehajtásához. Ezért a vállalatoknál célszerű kiemelten kezelni a területet, és rendszeres oktatásokat tartani, főként a pénzügyi tranzakciók végrehajtásáért felelős alkalmazottak körében.

A Trend Micro dolgozói például rendszeresen kapnak „éberségfenntartó” leveleket jellemző BEC mintákkal. Az alapján, hogy ezeket milyen arányban továbbítják a munkatársak az erre rendszeresített belső címre vizsgálat céljából, következtetni lehet az odafigyelés szintjére, s javítani lehet azt.

Célkeresztben a jelszavak és a hiszékenység

A Trend Micro szakemberei kilenc hónapon át (2017 januárjától szeptemberéig) követték az üzleti e-mailes visszaélésekhez köthető eseteket, hogy átfogó képet kapjanak a BEC csalások aktuális helyzetéről. Az adatok elemzése alapján két fő technika terjedt el széles körben:

• Hitelesítő adatok ellopása – A csalók billentyűzetfigyelő és adathalász eszközökkel ellopják a hitelesítő adatokat, hogy hozzáférhessenek a célba vett szervezetek webes levelezéséhez.
• Csak e-mailek használata – A csalók egy megtévesztő e-mailt küldenek a célba vett vállalat pénzügyi részlegén dolgozó, tranzakciókért felelős személynek (általában a pénzügyi igazgatónak). A támadók úgy szerkesztik meg az e-mailt, mintha azt egy felsővezető írta volna, és általában egy nagyobb összeg átutalására utasítják benne a címzettet (például egy beszállító vagy kivitelező kifizetésére, illetve személyes ügyre hivatkozva).

Figyeljünk oda jobban a fájlnevekre

• Az első technikánál többnyire kártevőkkel, illetve adathalász módszerekkel dolgoznak a kiberbűnözők, és gyakran használják a fájlnevekben az üzleti tranzakciókra utaló jellegzetes kifejezéseket. A kutatás alapján az is bizonyosság vált, hogy az elmúlt időszakban két kulcsfontosságú szereplő jelent meg a színen. 
• A második kategóriánál, azaz a csak e-maileket alkalmazó visszaéléseknél viszont pszichológiai befolyásolási (social engineering) technikákra támaszkodnak a csalók, kifinomult eszközöket alkalmazva, hogy leveleik a lehető leghitelesebbnek tűnjenek. Ilyen például a tárgy mező, a válaszcím és a feladó jellemzőinek ügyes használata. 

Bárki hozzáférhet a „szerszámosládához”: a szükséges eszközök és módszerek megtalálhatók a neten

A Trend Micro által megfigyelt eseteknél a támadás legfőbb forrása többnyire valamilyen adathalász eszköz, illetve csaló weboldal volt. Jó hír, hogy ezek vizsgálatával azonosítható az elkövető, és az is kideríthető, hogy honnan szerzi be, illetve hogyan használja a csaláshoz szükséges eszközöket. A legfontosabb megállapítások:

• Egy adott elkövetőnek nyomait több adathalász webhelyen is megtalálták a szakemberek, ami arra utal, hogy az üzleti e-mailes csalók jellemzően több weboldalt is használnak támadásaik végrehajtásához.
• Az elkövetők általában feketepiaci kapcsolatokkal is rendelkeznek, így további eszközöket is beszerezhetnek a sikeres támadások kivitelezéséhez.
• Még a tapasztalatlanabb üzleti e-mailes csalók is hozzájuthatnak a megfelelő forrásokhoz, hiszen egyszerűen beszerezhetők olyan útmutatók (például levélszemét küldéséhez), amelyek segítenek az első lépések megtételében.
• Ez azt jelenti, hogy a szükséges eszközök és módszerek minden különösebb erőfeszítés nélkül hozzáférhetők.

„Az üzleti e-mailes visszaélések megkerüléséhez természetesen elengedhetetlen a felhasználók oktatása és az utalásokhoz kapcsolódó, biztonságos folyamatok és szabályok kialakítása házon belül. Még nagyobb védelmet biztosít, ha a vállalatnál SNAP (social engineering attack protection – pszichológiai befolyásolás elleni védelem) technológiát is alkalmaznak. A Trend Micro megoldása gépi tanulást alkalmazva azonosítja és kiszűri a BEC támadásra utaló jeleket tartalmazó e-maileket„

– mutatott rá György László, a Trend Micro magyarországi területi képviselője.

Fotó: Freepik

Mindenki nagyon biztos, de tényleg?

A fentiek mellett a vállalatok 79 százaléka biztos abban, hogy az általuk kezelt adatok a lehető legnagyobb biztonságban vannak.

A Gartner azonban azt vetíti előre, hogy 2018 végére a vállalatoknak még több mint 50 százaléka nem fog teljesen megfelelni a GDPR követelményeinek.

A vállalatok pontatlan képpel rendelkeznek saját felkészültségükről és biztonságukról

A vezetők tehát látszólag tudatosan kezelik a kérdést, ennek ellenére zavar érzékelhető azzal kapcsolatban, hogy pontosan milyen személyazonosításra alkalmas információkat (Personally Identifiable Information – PII) kell védeniük az előírások alapján.

• A felmérésben részt vevők 64 százaléka például nem tudta, hogy az ügyfelek születési dátuma személyazonosításra alkalmas információnak minősül.
• Emellett 42 százalékuk nem tekintette ilyen jellegű információnak az e-mailes marketing-adatbázisokat, 32 százalékuk a lakcímeket, illetve 21 százalékuk az ügyfelek e-mail címét sem.

Az eredmények tehát azt mutatják, hogy a vállalatok pontatlan képpel rendelkeznek saját felkészültségükről és biztonságukról. Ezek az adatok ugyanis elegendő információt biztosítanak a hackerek számára, hogy személyazonosságokat lopjanak, ezért büntetésre számíthat minden olyan vállalat, amely nem gondoskodik a megfelelő védelmükről.

Drága is lehet: az engedetlenség költségei

A felmérés szerint a válaszadóknak csak mindössze 33 százalékuk ismerte fel, hogy az éves forgalmuk akár négy százalékát is elveszíthetik.

Döbbenetesen nagy, 66 százalék azoknak az aránya, akik nem foglalkoztak azzal, milyen összegű bírságra számíthatnak, ha nem rendelkeznek a szükséges biztonsági védelemmel.

Továbbá a szervezetek szintén 66 százaléka gondolja úgy, hogy a szabályok megszegésekor a hírnévből és a márka értékéből veszíthet a legtöbbet, míg a válaszadók 46 százaléka azt állította, hogy egy ilyen esemény a meglévő ügyfélkört befolyásolná a leginkább. Ez a hozzáállás különösen riasztó, ha figyelembe vesszük, hogy szabályszegés esetén a vállalatokat akár bezárásra is kötelezhetik a hatóságok.

Felelős felek: előbb utóbb tisztázni kell, hogy ki a felelős

A kutatás arra is rávilágított, hogy a vállalatok nem biztosak abban, ki a felelős olyan esetben, amikor az EU-s adatok egy Egyesült Államokban működő szolgáltató hibájából vesznek el:

• 14 százalékuk tudta helyesen megmondani, hogy az adatvesztés minkét fél felelőssége. 
• 51 százalékuk úgy gondolta, a bírság az EU területén működő adattulajdonost illeti.
• 24 százalékuk pedig úgy vélte, az Egyesült Államokban működő szolgáltató a hibás.

Emellett az is kiderült, hogy a vállalatok nem biztosak abban sem, kinek a felelőssége, hogy biztosítsa a rendeletnek való megfelelést. A felmérésben szereplők:

• 31 százaléka úgy gondolja, hogy ez a vezérigazgatóra hárul – a valóságban viszont vállalatok mindössze 21 százalékánál vesz ténylegesen részt a felsővezetés a felkészülésben.
• 27 százalékuk szerint az információbiztonsági vezetőnek és a biztonsági csapatnak kell felelősséget vállalnia – a valóság viszont azt mutatja, hogy 65 százaléknál az informatikai részleg irányítja ezt a folyamatot.

A szükséges technológia

Miközben a fenyegetések egyre kifinomultabbá válnak, a vállalatok gyakran nem rendelkeznek a védekezéshez szükséges szakértelemmel.

A GDPR előírja a cégek számára, hogy a várható kockázatoknak megfelelő, korszerű technológiákat alkalmazzanak. Ennek ellenére a szervezeteknek mindössze 34 százaléka vezetett be fejlett megoldásokat a behatolók azonosítására, 33 százalékuk fektetett be adatszivárgás elleni technológiákba, és 31 százalékuk alkalmaz titkosítási megoldásokat.

„A GDPR előírásainak teljesítéséhez a vállalatoknak többrétegű védelemre van szükségük. Ehhez minden szükséges támogatást biztosít számukra a Trend Micro XGen security megoldása, amely a személyes adatok számára a teljes vállalati infrastruktúrában védelmet nyújt. Az eszköz minden olyan környezetre optimalizált, amelyben adatok tárolhatók, legyen szó akár fizikai vagy virtuális környezetről, felhőről vagy éppen konténerekről.”

– foglalta össze György László, a Trend Micro magyarországi területi képviselője.