Jak podaje Trend Micro, w ciągu ostatnich kilku lat liczba ataków polegających na wysyłaniu fałszywych biznesowych wiadomości e-mail (ang. Business Email Compromise - BEC) zdecydowanie wzrosła, a powiązane z nimi straty sięgną w 2018 r. wg prognoz 9 mld USD. Połączenie prostoty i skuteczności sprawia, że metoda BEC w dalszym ciągu będzie należeć do najpopularniejszych typów ataków, zwłaszcza w przypadku tych przestępców, którzy nie dysponują specjalnymi narzędziami ani wiedzą pozwalającą im zrealizować bardziej skomplikowane plany.
Instytut Internet Crime Complaint Center (IC3) dzieli ataki typu BEC na pięć głównych kategorii, w trakcie prowadzonych analiz specjalistom Trend Micro udało się ograniczyć tę klasyfikację do dwóch zasadniczych technik:
• przechwytywanie danych uwierzytelniających - obejmuje zastosowanie programów rejestrujących tekst wprowadzany z klawiatury (keylogger) i zestawów narzędzi do wyłudzania danych osobowych (phishingu) w celu kradzieży danych uwierzytelniających i uzyskania dostępu do internetowej poczty elektronicznej organizacji będącej celem ataku;
• wykorzystanie samej wiadomości e-mail - obejmuje wysłanie wiadomości e-mail do jednego z pracowników działu finansów (zwykle do dyrektora ds. finansowych) atakowanej firmy. Przestępcy przygotowują wiadomość tak, aby wyglądała jak wysłana przez członka kadry kierowniczej przedsiębiorstwa. Zwykle zawiera polecenie wykonania przelewu środków. Chodzi tu najczęściej o płatność dla dostawcy lub wykonawcy bądź o osobistą przysługę.
Techniki przechwytywania danych uwierzytelniających można dalej podzielić na takie, które wykorzystują szkodliwe oprogramowanie, i te, w których stosuje się wyłudzanie danych (phishing).
Badanie Trend Micro dotyczące ataków typu BEC, w których wykorzystano szkodliwe oprogramowanie, pozwoliło wskazać dwóch kluczowych graczy w tym obszarze: Ardamax - oprogramowanie dostępne za 50 USD, które udostępnia przestępcom przeprowadzającym atak typu BEC podstawowe potrzebne im funkcje, oraz LokiBot - znaną rodzinę szkodliwego oprogramowania, które pojawia się w atakach typu BEC coraz częściej.
W atakach, w których stosowana jest sama wiadomość e-mail, używane są natomiast techniki inżynierii społecznej. Socjotechniki to powszechny element w większości ataków typu BEC, lecz w atakach wykorzystujących samą wiadomość e-mail dostrzegalne są bardziej wyrafinowane metody manipulacji ludzkim umysłem. Przestępcy przygotowują tu po prostu wiadomości e-mail, które wyglądają możliwie wiarygodnie. W takich atakach typu BEC zwykle sprytnie wykorzystywane jest pole tematu, sekcja z adresem zwrotnym oraz źródło wiadomości.
Przestępcy tworzą przy tym wiarygodne adresy e-mail, aby podszyć się pod kadrę kierowniczą firmy. Korzystają w tym celu z podejrzanych bezpłatnych serwisów internetowej poczty elektronicznej lub rejestrują domenę, która jest łudząco podobna do domeny firmy docelowej albo do niej nawiązuje.
Źródło: Trend Micro