Co je BEC podvod?

BEC (Business Email Compromise) označuje podvody, při kterých se útočníci snaží vydávat za někoho z vedení společnosti a přimět zaměstnance poslat peníze na podvodné účty. BEC podvod začíná hackem e-mailu a vydáváním se za vedoucí pracovníky, obvykle generálního ředitele nebo finančního ředitele. Kyberzločinci následně požadují zdánlivě legitimní firemní platbu. E-mail vypadá autenticky a zdá se, že pochází opravdu od někoho z vedení společnosti, takže zaměstnanec žádosti vyhoví a odešle peníze na bankovní účet, který je ovšem ve skutečnosti podvodný. Kromě přímého převodu financí na účty kyberzločinců se útočníci někdy snaží úředníky přesvědčit k nákupu dárkových poukazů, které dále prodávají.

Útočníci využívají sociální inženýrství, aby oklamali zaměstnance a vyvolali v nich dojem, že komunikují s generálním ředitelem nebo někým z vedení společnosti. Útočníci také dlouhodobě a detailně studují potenciální oběti a jejich organizace a sledují i budoucí obchody a finanční transakce.

BEC podvod je běžně spojován především s osamělými hackery. Check Point ale zjistil, že během koronavirové pandemie roste sofistikovanost a organizovanost těchto zločinů. V dubnu 2020 zveřejnil Check Point podrobnosti o kybergangu Florentine Banker, který okradl 3 organizace o 1,3 milionu dolarů. Útočníci měsíce studovali vytipovaný cíl, manipulovali korespondencí, registrovali podvodné domény a opatrně si vypláceli finance. Check Point pomohl okradeným společnostem získat zpět více než polovinu ukradené částky, zároveň ale varuje, že kybergang Florentine Banker měl v hledáčku řadu dalších společností.

Obrázek 1: Schéma použité kybergangem Florentine Banker ke krádežím

Check Point podobné útoky rozdělil do 5 fází:

1. Sledování a analýza. Jakmile útočníci získají kontrolu nad e-mailovým účtem oběti, začnou číst e-maily. Kybergangy tráví dny, týdny nebo dokonce měsíce průzkumem, než se aktivně zapojí do komunikace, trpělivě mapují obchodní procesy a postupy, způsoby převodu peněz a vztahy uvnitř i vně organizace.
2. Kontrola a izolace. Útočníci začínají oběť izolovat od třetích stran a kolegů vytvořením zvláštních e-mailových pravidel. Tato pravidla přesměrují všechny e-maily s filtrovaným obsahem nebo předmětem do složky monitorované útočníky.
3. Podvodné domény. Útočníci registrují podvodné domény, které vypadají věrohodně a podobně jako legitimní domény subjektů zapojených do e-mailové korespondence, kterou chtějí útočníci zachytit. Útočník začne odesílat e-maily z těchto podvodných domén a vytvoří novou konverzaci nebo pokračuje v existující konverzaci, takže oběť nepostřehne, že by s e-maily mělo být něco v nepořádku.
4. Žádost o peníze. Útočníci začnou vkládat podvodné informace o bankovním účtu pomocí následujících technik:
   • Zachycení legitimních bankovních převodů
   • Vytvoření nových požadavků na bankovní převod
5. Převod peněz. Kybergangy manipulují konverzací, dokud třetí strana neschválí nové bankovní údaje a nepotvrdí transakci. Pokud banka odmítne transakci kvůli neshodám v měně, jménu příjemce nebo z jakéhokoli jiného důvodu, jsou útočníci připraveni vše opravit, dokud peníze neskončí na jejich účtu.

Jak chránit vaši organizaci před BEC?

1. Povolte vícefaktorové ověřování pro podnikové e-mailové účty. Implementace vícefaktorové autentizace ztěžuje kyberzločincům přístup k e-mailu zaměstnanců.
2. Neotvírejte e-maily od neznámých odesílatelů. Když už e-mail otevřete, neklikejte na odkazy a přílohy, protože často obsahují malware a útočníci tak mohou proniknout nejen do vašeho počítače.
3. Dvakrát zkontrolujte e-mailovou adresu odesílatele. Falešná e-mailová adresa se často podobá legitimní e-mailové adrese.
4. Před odesláním financí nebo dat si vždy ověřte, že jde o legitimní požadavek.
5. Dávejte v e-mailové komunikaci přeposlat místo odpovědět na zprávu. Pokud totiž zvolíte přeposlat, pak musíte správnou e-mailovou adresu zadat ručně nebo jí vybrat z adresáře. Přesměrování zajišťuje, že používáte správnou e-mailovou adresu zamýšleného příjemce.