Business email compromise
Business email compromise, zkr. BEC, někdy též account email compromise, zkr. AEC značí, že došlo ke kompromitaci e-mailu zaměstnance určité organizace.
Z tohoto e-mailu je pak osloven další zaměstnanec, i proto se můžeme rovněž setkat s pojmem “man-in-the-email attack”. Nemusí se však jednat jen o e-mail, komunikace může probíhat i přes sociální síť či nějaký instant messaging.
Největší úspěch má BEC tam, kde je hodně dodavatelů a spolupracujících partnerů. Dochází k vytvoření e-mailu, který se tváří, jakože patří dané osobě, zpravidla vysoce postavenému manažerovi, a z tohoto emailu je pak zvolený zaměstnanec, nacházející se v hierarchii organizace o dvě úrovně níže, osloven a vyzván k akci, kterou může být převod peněz, sdělení informací apod.
Je nasnadě, že důvěrně známé jméno odesílatele v doručené poště ještě neznamená, že email opravdu poslala daná osoba, ovšem ne v každém takový email vzbudí podezření. Tento zaměstnanec se nachází buď přímo v dané organizaci anebo nějaké jiné, která s ní je v nějakém obchodním či jiném vztahu.
To, že je cílem útočníka zpravidla vyvedení finančních prostředků, vedlo k částečnému posunu významu zkratky BEC, a ta je od jisté doby nejčastěji používána pro označování spear phishing útoků, jejichž cílem je převedení peněz na účet útočníka.
Ovšem v okamžiku, kdy dojde ke kompromitaci e-mailu, tedy získání přístupu k e-mailu anebo přihlašovacích údajů, tak to ještě neznamená, že nutně musí dojít jen k vyvedení peněz z organizace. Může se stejně tak jednat o získání informací a případně může být účet zneužit k útoku na další organizaci.
Když se na BEC podíváme z pohledu toho, jaká e-mailová adresa odesílatele je použita, můžeme v zásadě identifikovat tři různé typy BEC, ale jen v jednom případě dojde opravdu ke zneužití skutečné emailové adresy, zatímco v dalších dvou případech dojde buď k vytvoření adresy, která se pouze tváří jako že patří dané osobě (fake e-mail) a je pod její kontrolou anebo k jejímu podvrhnutí (spoofing).
V prvním případě zpravidla BEC předchází spear phishing, kdy příjemce obdrží e-mail s přílohou obsahující malware, a v okamžiku, kdy příjemce přílohu otevře, tak dojde ke kompromitaci jeho účtu. A teprve z tohoto účtu je veden BEC útok. V zásadě se jedná o AEC a vícefázový útok, o kterém jsem psal např. zde, a který dle společnosti Proofpoint nabývá na významu obzvláště v souvislosti s cloudy a roste[1].
Ve druhém případě se email může lišit v tom, že je umístěn na jiné doméně anebo i na stejné, ale liší se třeba jen v jednom jediném písmenu a nemusí se jednat vůbec o nějaký složitý homografní útok, nýbrž jen jednoduchou substituci „I“ za „l“ či vypuštění, přidání anebo prosté prohození určitých znaků apod.
Ve třetím případě dochází k podvrhnutí emailové adresy a útočník využívá nedostatečného zabezpečení emailu a uvede do pole odesílatele adresu osoby, za kterou se vydává, o tom jsem psal zde.
Vzhledem k tomu, že emaily použité v rámci BEC neobsahují škodlivé přílohy ani odkazy a často přicházejí i z důvěrně známých adres, nejsou zpravidla detekovány žádným tradičním antispam řešením.
Pokud jde o BEC tak se nabízí i srovnání s klasickým SCAMem, který je cílen na domácnosti a lze u něj narazit na výrazně více variant než u BEC, který jich má v zásadě jen 5. Další rozdíl pak spočívá v tom, že klasický SCAM není cílený, BEC naopak je. Klasický scammer se vydává za někoho, koho příjemce nezná, zatímco beccer se vydává za někoho, koho by příjemce měl znát a dost často jej nezná. A konečně klasický scammer se snaží pumpnout příjemce e-mailu o jeho vlastní peníze, zatímco beccer o ty firemní.
[1] All About Business Email Compromise (BEC). Proofpoint [online]. 2. září 2016 [vid. 27. červenec 2020]. Získáno z: https://www.proofpoint.com/us/threat-reference/business-email-compromise
ČERMÁK, Miroslav, 2020. Business email compromise. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/business-email-compromise/. [citováno 09.12.2024].
Štítky: phishing
K článku “Business email compromise” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.