Business email compromise

Business email compromise, zkr. BEC, někdy též account email compromise, zkr. AEC značí, že došlo ke kompromitaci e-mailu zaměstnance určité organizace.

Z tohoto e-mailu je pak osloven další zaměstnanec, i proto se můžeme rovněž setkat s pojmem “man-in-the-email attack”. Nemusí se však jednat jen o e-mail, komunikace může probíhat i přes sociální síť či nějaký instant messaging.

Největší úspěch má BEC tam, kde je hodně dodavatelů a spolupracujících partnerů. Dochází k vytvoření e-mailu, který se tváří, jakože patří dané osobě, zpravidla vysoce postavenému manažerovi, a z tohoto emailu je pak zvolený zaměstnanec, nacházející se v hierarchii organizace o dvě úrovně níže, osloven a vyzván k akci, kterou může být převod peněz, sdělení informací apod.

Je nasnadě, že důvěrně známé jméno odesílatele v doručené poště ještě neznamená, že email opravdu poslala daná osoba, ovšem ne v každém takový email vzbudí podezření. Tento zaměstnanec se nachází buď přímo v dané organizaci anebo nějaké jiné, která s ní je v nějakém obchodním či jiném vztahu.

To, že je cílem útočníka zpravidla vyvedení finančních prostředků, vedlo k částečnému posunu významu zkratky BEC, a ta je od jisté doby nejčastěji používána pro označování spear phishing útoků, jejichž cílem je převedení peněz na účet útočníka.

Ovšem v okamžiku, kdy dojde ke kompromitaci e-mailu, tedy získání přístupu k e-mailu anebo přihlašovacích údajů, tak to ještě neznamená, že nutně musí dojít jen k vyvedení peněz z organizace. Může se stejně tak jednat o získání informací a případně může být účet zneužit k útoku na další organizaci.

Když se na BEC podíváme z pohledu toho, jaká e-mailová adresa odesílatele je použita, můžeme v zásadě identifikovat tři různé typy BEC, ale jen v jednom případě dojde opravdu ke zneužití skutečné emailové adresy, zatímco v dalších dvou případech dojde buď k vytvoření adresy, která se pouze tváří jako že patří dané osobě (fake e-mail) a je pod její kontrolou anebo k jejímu podvrhnutí (spoofing).

V prvním případě zpravidla BEC předchází spear phishing, kdy příjemce obdrží e-mail s přílohou obsahující malware, a v okamžiku, kdy příjemce přílohu otevře, tak dojde ke kompromitaci jeho účtu. A teprve z tohoto účtu je veden BEC útok. V zásadě se jedná o AEC a vícefázový útok, o kterém jsem psal např. zde, a který dle společnosti Proofpoint nabývá na významu obzvláště v souvislosti s cloudy a roste[1].

Ve druhém případě se email může lišit v tom, že je umístěn na jiné doméně anebo i na stejné, ale liší se třeba jen v jednom jediném písmenu a nemusí se jednat vůbec o nějaký složitý homografní útok, nýbrž jen jednoduchou substituci „I“ za „l“ či vypuštění, přidání anebo prosté prohození určitých znaků apod.

Ve třetím případě dochází k podvrhnutí emailové adresy a útočník využívá nedostatečného zabezpečení emailu a uvede do pole odesílatele adresu osoby, za kterou se vydává, o tom jsem psal zde.

Vzhledem k tomu, že emaily použité v rámci BEC neobsahují škodlivé přílohy ani odkazy a často přicházejí i z důvěrně známých adres, nejsou zpravidla detekovány žádným tradičním antispam řešením.

Pokud jde o BEC tak se nabízí i srovnání s klasickým SCAMem, který je cílen na domácnosti a lze u něj narazit na výrazně více variant než u BEC, který jich má v zásadě jen 5. Další rozdíl pak spočívá v tom, že klasický SCAM není cílený, BEC naopak je. Klasický scammer se vydává za někoho, koho příjemce nezná, zatímco beccer se vydává za někoho, koho by příjemce měl znát a dost často jej nezná. A konečně klasický scammer se snaží pumpnout příjemce e-mailu o jeho vlastní peníze, zatímco beccer o ty firemní.

[1] All About Business Email Compromise (BEC). Proofpoint [online]. 2. září 2016 [vid. 27. červenec 2020]. Získáno z: https://www.proofpoint.com/us/threat-reference/business-email-compromise

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Business email compromise” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: