Kompromitacija poslovnog e-maila

Prevare zasnovane na kompromitaciji poslovnog e-maila, koje se u žargonu zovu “lov na kitove” iliti velike zverke, tj.direktore, podrazumevaju slanje posebno sastavljenih poruka elektronske pošte od strane prevaranata koji se predstavljaju da su direktori ili drugi visoko rangirani službenici u organizacijama primalaca. Kod ovog tipa e-mail prevara iskorišćavaju se tehnike društvenog inženjeringa i od zaposlenih koji e-mail dobijaju na svoj službeni e-mail se traži neka hitna akcija, kao na primer da se izvrši hitna uplata, tj. prenos novčanih sredstava elektronskim putem, ili pak da se pošalju osetljivi podaci kao što su formulari za obračun plata i drugih prihoda zaposlenih koji se inače šalju poreskim organima i koriste za povraćaj poreza.

Kompromitacije poslovnih e-mailova možete prepoznati po tome što se:

Imitira obraćanje nekog iz top menadžmenta vaše poslovne organizacije
Slanje vrši sa e-mail domena koji su vrlo slični onim kod vaše organizacije
Izrazito koriste nalozi s besplatnih e-mail servisa (Gmail, Yahoo, i dr.)
E-mailovi prave bez linkova (URL), telefonskih brojeva ili priloga.
Američki FBI je potvrdio porast i kritičnost kompromitacije poslovnih e-mailova u svom nedavno publikovanom izveštaju, u kojem je naveo da ovaj tip prevare ubrzano raste  godišnjom stopom od 1.300% (13 puta se uvećava) i da je odgovoran za više od 3 milijarde dolara prijavljenih gubitaka. Ova objava je takođe otkrila još jedan tip scenarija kompromitacije koji uključuje krađu poverljivih poslovnih podataka.

Pomenuta FBI-jeva objava skicirala je pet scenarija u kojima se radi o kompromitaciji poslovnog e-maila:

Organizacije koje rade sa stranim dobavljačima

Rukovodilac organizacije prima ili inicira zahtev za ino-transfer novčanih sredstava

Poslovni kontakti dobijaju prevarnu korespondenciju putem kompromitovanog e-maila

Imitiranje rukovodilaca i advokata

Krađa podataka

I dok se finansijske štete prouzrokovane scenarijima od 1 do 4 mogu izmeriti i pokriti od strane kompanije i njenog osiguravajućeg društva (u slučaju da imaju polisu sajber osiguranja), štetu prouzrokovanu novim scenarijom pod brojem 5 teško je sagledati, jer su u igri podaci o ličnosti, a koji mogu biti zloupotrebljeni, kao što je već viđeno u pokušajima prevara sa povraćajem poreza, ili pak dovesti do gubitaka intelektualnih prava. Stoga je od sve većeg značaja sagledati ovu oblast kompromitacije poslovnog e-maila kao ozbiljnu pretnju po vašu organizaciju.

Ključne karakteristike kompromitacije poslovnog e-maila

Ovom prilikom želeli bismo da ukažemo na još neke karakteristike e-mailova koje bi vam pomogle da uspešno otkrijete napade ove vrste:

Ključne reči u poljima “Od” i “Odgovori na” (From, Reply-to), u slučaju da je polje “odgovori na” sadržano u zaglavlju e-maila (ceo, cto, cfo, coo, office, work, dir, director, executive, exec, chief, central, chairman, president, vp,vice, private, official, md, managing managed chief, accountant admin, workmail, gmo, personal,home, personal)

Ključne reči u telu poruke

(Transfer, Request, response, Verification, Payment, Update, Wire, Initiate, Instructions, Bank detaill, international, finance department, urgent, remit, remittance, Attention, Attached, Outstanding, confidential, desk, office)

Tema poruke ima od jedne do tri reči (46% imaju jednu reč, 31% su s dve reči, 19% je s tri reči)

U telu poruke se najčešće koristi kombinacija tekstualnog i HTML koda (više od 60% slučajeva), samo TXT je u 23% slučajeva prevara, a samo HTML se koristi u oko 15% slučajeva.

Poruke imaju između 1.500 i 8.000 bajtova

58% kompromitacija poslovnih e-mailova imaju dužinu od 1.500 i 8.000 bajtova

30% kompromitacija poslovnih e-mailova imaju veličine između 8.000 i 10.000 bajtova

Otežavajuća okolnost kod poruka ovog tipa je da imate na raspolaganju veoma ograničen set karakteristika koje možete proveriti (kao što su prilozi uz poruke, lnternet adrese, ili poznati domeni prevaranata) da biste otkrili da se zaista radi o slučajevima kompromitacije poslovnih e-mailova. Osim toga, iako gore navedene karakteristike mogu biti od pomoći, ovo je nešto što se mora pažljivo raditi, da ne bi bilo slučajeva pogrešnog detektovanja. Ako bi na primer jedna finansijska institucija po generičkom pravilu detektovala poruke sa besplatnih e-mail naloga koje pri tom sadrže neku od ključnih reči kao što su ‘transfer’ ili ‘izvanredna’, onda bi mogli da nenamerno blokiraju sasvim legitimne e-mailove zajedno sa kompromitovanim.

Symantec

Symantec je usredsređen na zaustavljanje napada zasnovanih na kompromitacijama poslovnih e-mailova

Ranije ove godine korporacija Symantec se bavila prevarantskim domenima, nalik pravim, legitimnim, koji se koriste za slanje kompromitovanih e-mailova, kako bi sakupila dodatne obaveštajne podatke pomoću kojih bi poboljšala otkrivanje napada ove vrste. Određena heuristička pravila generisana na osnovu Symantecovih istraživanja su se pokazala uspešnim u suzbijanju prevara, zaustavljajući više od 16,1 miliona e-mailova od početka ove godine. Symantec Email Security rešnje sadrži mnogo više tehnologija za detekciju koja zaustavljaju napade ili neželjene e-mailove kakvi su “pecanje”, spam i neželjeni e-mailovi. U Symantecu konstantno rade na tome da ostanu ispred napadača tako što poboljšavaju skupove pravila koje sprovodi Email Security rešenje, da bi otkrili kompromitacije poslovnih e-mailova za svoje korisnike i to bez kupovine dodatnih softverskih modula ili specijalnih verzija proizvoda.

Kako Symantec štiti od napada zasnovanih na kompromitaciji poslovnih e-mailova

Symantec će nastaviti investiranje u istraživanja i projektovanje specificičnih sistema detekcije e-mailova kako bi predupredili napade zasnovane na kompromitaciji poslovnih e-mailova. Ovaj tip napada, zbog ograničenog skupa karakteristika i specifičnosti pojedinačnih kompanija, će možda zahtevati i komplementarni set rešenja koja je Symantec takođe u mogućnosti da isporuči.

Symantec Email Security.cloud Data Protection obezbeđuje granularnu kontrolu da bi identifikovao sumnjive poruke na osnovu različitih pokazatelja, koji takođe pomažu da se podigne svest o opasnostima kod krajnjih korisnika.
Koristi najkorišćenije ključne reči u zaglavlju i telu poruke koje smo već pominjali, da bi otkrio i blokirao ili označio sumnjivim poruke koje odgovaraju zadatim kriterijumima. Za više informacija pročitajte:

http://www.symantec.com/docs/HOWTO124383
http://www.symantec.com/docs/HOWTO124423

Data Protection može još i da pomogne da se označe zastavicom poruke koje dolaze izvan organizacije, kako bi se podigao nivo pozornosti. Na primer, kad poruka koja traži izravnu pažnju izgleda kao da dolazi od generalnog direktora, a dolazi zapravo preko e-mail gejtveja preko Interneta, umesto da stiže sa mail servera unutar korporacije, onda se korisnik odmah obaveštava o tome.

Symantec Data Loss Prevention doprinosi da se pobede kompromitovani e-mailovi koji dovode do gubitka podataka, tako što se u pozadini nevidljivo za korisnika, integriše s Symantec Email Security rešenjima da otkrije e-mailove koji sadrže osetljive informacije kao što su poreske prijave i obračuni plata sa poverljivim podacima o ličnosti, pa spreči da takvi e-mailovi odu iz organizacije. Kad se iskombinuje sa Symantecovim servisom za enrkipciju zasnovanom na politikama primene, možete biti sigurni da će i u slučaju da dospeju u pogrešne ruke, ove poverljive lične informacije biti šifrovane i zaštićene.

Primena digitalnih potpisa dokazuje autentičnost pošiljalaca e-maila. Pobrinite se da vaši rukovodioci, kao npr. generalni ili finansijski direktori svoj službeni e-mail koriste sa sertifikatima kojim potpisuju poruke i da svi primaoci znaju da to očekuju i dovode u sumnju svaki digitalno nepotpisani e-mail koji navodno dolazi od strane direktora.

Sprovedite trening svesnosti krajnjih korisnika da podignete nivo svesti o opasnostima kompromitacije poslovnog e-maila i sa njom povezanih prevara. Upotrebite prednosti Symantec Cyber Security servisa da simulirate napade i trenirate vaše zaposlene da se nose sa “pecanjem” tako što ćete ih naučiti da budu sumnjičavi prema e-mailovima i obučiti ih da prepoznaju i prijave napade.
Najbolje prakse za adresiranje pretnji povezanih sa kompromitacijom poslovnih e-mailova

Uz sva pobrojana Symantecova rešenja, trebalo bi da koristite sledeće najbolje prakse kako biste na najefektivniji način zaštitili svoju organizaciju od kompromitacije poslovnih e-mailova:

Prosledite kopije / uzorke da pripomognete u zaštiti od ovih pretnji, jer deljenje informacija omogućava drugim organizacijama da brzo otkriju i zaustave napade
Posumnjajte u svaki e-mail koji traži bilo kakvu izravnu akciju koja vam se čini neuobičajenom, ili nije u skladu sa redovnim procedurama koje su u primeni u vašoj organizaciji

Korisnici ne bi smeli da odgovaraju na bilo koji e-mail koji im deluje sumnjivo.
Pribavite prvo adresu pošiljaoca iz korporativnog adresara i pitajte njih u posebnom, novom e-mailu, da li su to poslali i tražite potvrdu.

Koristite dvofaktorsku autentifikaciju pri iniciranju transfera novca

Za više informacija na ovu temu, predlažemo vam da pročitate (na engleskom) najnoviji izveštaj o istraživanju koji je pripremio Symantec Security Response tim pod nazivom Prevare od milijardu dolara: Napadi sa kompromitacijom poslovnog e-maila u brojkama.

bitsyu