Business email compromise

Business email compromise, zkr. BEC, někdy též account email compromise, zkr. AEC značí, že došlo ke kompromitaci e-mailu zaměstnance určité organizace.

Z tohoto e-mailu je pak osloven další zaměstnanec, i proto se můžeme rovněž setkat s pojmem “man-in-the-email attack”. Nemusí se však jednat jen o e-mail, komunikace může probíhat i přes sociální síť či nějaký instant messaging.

Největší úspěch má BEC tam, kde je hodně dodavatelů a spolupracujících partnerů. Dochází k vytvoření e-mailu, který se tváří, jakože patří dané osobě, zpravidla vysoce postavenému manažerovi, a z tohoto emailu je pak zvolený zaměstnanec, nacházející se v hierarchii organizace o dvě úrovně níže, osloven a vyzván k akci, kterou může být převod peněz, sdělení informací apod.

Je nasnadě, že důvěrně známé jméno odesílatele v doručené poště ještě neznamená, že email opravdu poslala daná osoba, ovšem ne v každém takový email vzbudí podezření. Tento zaměstnanec se nachází buď přímo v dané organizaci anebo nějaké jiné, která s ní je v nějakém obchodním či jiném vztahu.

To, že je cílem útočníka zpravidla vyvedení finančních prostředků, vedlo k částečnému posunu významu zkratky BEC, a ta je od jisté doby nejčastěji používána pro označování spear phishing útoků, jejichž cílem je převedení peněz na účet útočníka.

Ovšem v okamžiku, kdy dojde ke kompromitaci e-mailu, tedy získání přístupu k e-mailu anebo přihlašovacích údajů, tak to ještě neznamená, že nutně musí dojít jen k vyvedení peněz z organizace. Může se stejně tak jednat o získání informací a případně může být účet zneužit k útoku na další organizaci.

Když se na BEC podíváme z pohledu toho, jaká e-mailová adresa odesílatele je použita, můžeme v zásadě identifikovat tři různé typy BEC, ale jen v jednom případě dojde opravdu ke zneužití skutečné emailové adresy, zatímco v dalších dvou případech dojde buď k vytvoření adresy, která se pouze tváří jako že patří dané osobě (fake e-mail) a je pod její kontrolou anebo k jejímu podvrhnutí (spoofing).

V prvním případě zpravidla BEC předchází spear phishing, kdy příjemce obdrží e-mail s přílohou obsahující malware, a v okamžiku, kdy příjemce přílohu otevře, tak dojde ke kompromitaci jeho účtu. A teprve z tohoto účtu je veden BEC útok. V zásadě se jedná o AEC a vícefázový útok, o kterém jsem psal např. zde, a který dle společnosti Proofpoint nabývá na významu obzvláště v souvislosti s cloudy a roste[1].

Ve druhém případě se email může lišit v tom, že je umístěn na jiné doméně anebo i na stejné, ale liší se třeba jen v jednom jediném písmenu a nemusí se jednat vůbec o nějaký složitý homografní útok, nýbrž jen jednoduchou substituci „I“ za „l“ či vypuštění, přidání anebo prosté prohození určitých znaků apod.

Ve třetím případě dochází k podvrhnutí emailové adresy a útočník využívá nedostatečného zabezpečení emailu a uvede do pole odesílatele adresu osoby, za kterou se vydává, o tom jsem psal zde.

Vzhledem k tomu, že emaily použité v rámci BEC neobsahují škodlivé přílohy ani odkazy a často přicházejí i z důvěrně známých adres, nejsou zpravidla detekovány žádným tradičním antispam řešením.

Pokud jde o BEC tak se nabízí i srovnání s klasickým SCAMem, který je cílen na domácnosti a lze u něj narazit na výrazně více variant než u BEC, který jich má v zásadě jen 5. Další rozdíl pak spočívá v tom, že klasický SCAM není cílený, BEC naopak je. Klasický scammer se vydává za někoho, koho příjemce nezná, zatímco beccer se vydává za někoho, koho by příjemce měl znát a dost často jej nezná. A konečně klasický scammer se snaží pumpnout příjemce e-mailu o jeho vlastní peníze, zatímco beccer o ty firemní.

[1] All About Business Email Compromise (BEC). Proofpoint [online]. 2. září 2016 [vid. 27. červenec 2020]. Získáno z: https://www.proofpoint.com/us/threat-reference/business-email-compromise

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Business email compromise” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: