Cyberatak? Najlepiej przez asystentkę prezesa

prezes szef pracownik

Tylko przez ostatnie 3 lata globalna wartość strat poniesionych przez zaatakowane metodą BEC przedsiębiorstwa wzrosła o 136% i osiągnęła poziom 12,5 miliarda dolarów. Business Email Compromise i należący do tej grupy CEO Fraud, czyli oszustwo “na prezesa”, to jedne z ulubionych i najskuteczniejszych metod wykorzystywanych przez cyberprzestępców.

Straty poniesione przez firmy na całym świecie, które padły ofiarą BEC – Business Email Compromise, przekroczyły wartość 12,5 miliarda dolarów, alarmują analitycy amerykańskiej agencji bezpieczeństwa FBI. W rzeczywiści liczba ta może być znacznie wyższa, ponieważ analizie poddano wyłącznie 78,617 firm, które zgłosiły incydenty do odpowiednich organów. Nie wiadomo jak wielu przedsiębiorców zataiło ten fakt, chroniąc się przed możliwymi konsekwencjami i stratami wizerunkowymi. Szczególnie, że zgodnie z danymi FBI, zgłaszający odzyskali jedynie 4% utraconych kwot.

Panu w garniturze się nie odmawia

Jak wygląda schemat ataku metodą CEO Fraud? Rzecz zaczyna się od uzyskania dostępu do e-maila prezesa, z którego wysyłane są zlecenia przelewów. Drugim krokiem jest kradzież wrażliwych danych firmowych, dzięki którym takie oszustwo można uwiarygodnić, np. poprzez posłużenie się danymi faktycznych dostawców lub powołanie się na zaległe faktury. Przeprowadzenie ataku socjotechnicznego umożliwiającego zdobycie takich informacji jest prostsze niż się wydaje, o czym kilka dni temu przekonał się Tomasz Szpikowski, CEO TestArmy Group S.A.:

– Właśnie jechałem na spotkanie z zarządem dużego koncernu motoryzacyjnego w ich wrocławskiej siedzibie. Po drodze, rzecz trywialna, rozładował mi się telefon. W samochodzie miałem kabel USB, ale bez adaptera pozwalającego na podłączenie do gniazda zapalniczki. “Ford niestety ładuje słabo, ciekawe co by na to powiedział Lee Iacocca”, pomyślałem… Dojechałem na miejsce, wszedłem do głównego holu, gdzie zostałem przywitany przez asystentkę prezesa. Kiedy zapytała, czy może w czymś pomóc, odpowiedziałem, że owszem, rozładował mi się telefon, a przy sobie mam wyłącznie kabel USB. Asystentka wzięła telefon i nie mając adaptera, podpięła go do swojego służbowego laptopa w sekretariacie zarządu.

Co by się stało, gdyby dyrektor okazał się cyberprzestępcą?

Gest asystentki był miły i uczynny, ale gdyby Tomasz Szpikowski był cyberprzestępcą, a telefon byłby skonfigurowany tak, aby natychmiast po podłączeniu zainfekować urządzenie oprogramowaniem dającym do niego zdalny dostęp, mógłby zrobić wszystko. Skopiować wszystkie e-maile wymieniane między centralą firmy a innymi placówkami i klientami. Zaszyfrować dokumenty, pobrać dane biznesowe, faktury, informacje o pracownikach. Znałby wewnętrzne procedury, politykę wynagrodzeń, budżety czy strategię rozwoju firmy. Nie trzeba dodawać, na jakie straty firma by się naraziła, gdyby takie dane znalazły się w niewłaściwych rękach.

Pamiętajmy, że człowiek jest najsłabszym ogniwem systemu bezpieczeństwa, choć najczęściej nie z własnej winy. To zarząd firmy jest odpowiedzialny za wprowadzanie procedur walki z atakami socjotechnicznymi i odpowiednie przeszkolenie pracowników. Jeśli tego nie zrobi, biznes będzie stale narażony, a menadżerowie i dyrektorzy, którzy trzymają klucze do wirtualnie przechowywanych wrażliwych danych, będą łatwym celem dla cyberprzestępców – tłumaczy Tomasz Szpikowski.

Ekspert podkreśla, że praktycznie każdy gadżet może otwierać drzwi do strategicznych danych elektronicznych, tak samo smartfon, pendrive, transmiter do klawiatury, adapter do rzutnika, jak i inne podłączane do komputerów akcesoria. Przeprowadzone przez TestArmy CyberForces testy pokazały, że luki w systemach bezpieczeństwa ma aż 5 na 10 popularnych urządzeń IoT.

Jak cyberprzestępcy wykorzystują CEO Fraud?

Gdy cyberprzestępca zyska dostęp do e-maila dyrektora, ma pełne spektrum możliwości.

  • Gdy włamanie dotyczy firmy współpracującej z zagranicznym dostawcą, może wykorzystać długą relację biznes-dostawca. Mając dostęp do historii przelewów, wysyłać e-mailem prośby o zmianę rachunku, na który kierowane są pieniądze. Ponieważ adres e-mail będzie się zgadzać, odbiorca nie będzie podejrzewać, że cała sytuacja jest oszustwem.
  • Gdy włamanie dotyczy firmy zlecającej duże ilości przelewów, podstawiony “dyrektor” może zlecić własnym pracownikom czy instytucji finansowej obsługującej firmę przesłanie środków na podany numer konta.
  • Gdy włamanie dotyczy firmy współpracującej z zewnętrznym doradcą podatkowym lub adwokatem, przestępca może wysłać prośbę o wypełnienie papierów podatkowych, do których ma dostęp, albo o przekazanie szczegółowych i poufnych danych pracowników.

Ciekawe – najdroższy rozwód w historii zaczął się od zhackowanego telefonu

A dotyczył najbogatszego człowieka na świecie – Jeffa Bezosa, CEO Amazona. Przyczyną rozwodu był romans Bezosa z Lauren Sanchez, który nagłośniono dzięki wyciekowi ich prywatnej korespondencji. Osobisty ochroniarz Bezosa, zajmujący się jego cyberbezpieczeństwem, opisał całą sytuację w dzienniku The Daily Beast. Przyznał, że choć brak na to twardych dowodów, wszystko wskazuje na to, że za wyciekiem stoi rząd Arabii Saudyjskiej, który zhackował telefon Bezosa i ujawnił zdobyte dane American Media Inc. i gazecie National Enquirer. Bezos, którego majątek wyceniany był na prawie 160 miliardów dolarów, w wyniku rozwodu oddał byłej żonie 36 miliardów dolarów.

Takie sytuacje uświadamiają, że cyberbezpieczeństwo to sektor dotyczący nie tylko sfery zawodowej. Coraz częściej dyrektorzy firm, osoby wysoko postawione, majętne decydują się na rozszerzenie ochrony z firmy także na własną rodzinę, chcąc zabezpieczyć swoich bliskich, inteligentne domy, w których mieszkają i inteligentne urządzenia, z których korzystają na co dzień – podsumowuje Tomasz Szpikowski.

W cyfrowym świecie nikt nie jest bezpieczny, a członkowie zarządów firm wyjątkowo boleśnie przekonują się o tym, jak wyciek wrażliwych informacji może narazić ich na olbrzymie straty. Problem jest szczególnie istotny, ponieważ zgodnie z raportem Verizon DBIR 2019, osoby posiadające przywileje wykonawcze i dostęp do wielu zastrzeżonych, często krytycznych rejonów infrastruktury informatycznej są obecnie 12 razy bardziej narażeni na atak socjotechniczny niż jeszcze rok temu.

Źródło: TestArmy CyberForces