Erre mindig kiemelt figyelmet kell fordítani. De nem biztos, hogy azonnal eleget is kell tenni a felszólításnak: óriási károkat okozhat a cégnek, ha az üzenetet valójában nem a vállalat egyik vezetője, hanem internetes csalók küldték.

Az üzleti e-mailekhez kapcsolódó visszaélések (Business Email Compromise, BEC) száma rendkívüli módon megnőtt az elmúlt néhány évben, amint arra a Trend Micro friss jelentése is rávilágít.

Az átverésekkel okozott károk értéke 2016-ban 5,3 milliárd dollárra rúgott, az idei év végéig pedig akár a 9,1 milliárd dollárt is elérheti.

A BEC nem csupán jövedelmező, de egyszerű és a hatékony is, ezért töretlen népszerűségnek örvend, különösen azok körében, akiknek nincs megfelelő eszközük vagy tudásuk a bonyolultabb csalások végrehajtásához.

Ezért a vállalatoknál célszerű kiemelten kezelni a területet, és rendszeres oktatásokat tartani, főként a pénzügyi tranzakciók végrehajtásáért felelős alkalmazottak körében.

Célkeresztben a jelszavak és a hiszékenység

A szakemberek kilenc hónapon át (2017 januárjától szeptemberéig) követték az üzleti e-mailes visszaélésekhez köthető eseteket, hogy átfogó képet kapjanak a BEC csalások aktuális helyzetéről.

Az adatok elemzése alapján két fő technika terjedt el széles körben:

• Hitelesítő adatok ellopása – A csalók billentyűzetfigyelő és adathalász eszközökkel ellopják a hitelesítő adatokat, hogy hozzáférhessenek a célba vett szervezetek webes levelezéséhez.
• Csak e-mailek használata – A csalók egy megtévesztő e-mailt küldenek a célba vett vállalat pénzügyi részlegén dolgozó, tranzakciókért felelős személynek (általában a pénzügyi igazgatónak). Úgy szerkesztik meg az e-mailt, mintha azt egy felsővezető írta volna, és általában nagyobb összeg átutalására utasítják benne a címzettet.

Figyeljünk a fájlnevekre

Az első technikánál többnyire kártevőkkel, illetve adathalász módszerekkel dolgoznak a kiberbűnözők, és gyakran használják a fájlnevekben az üzleti tranzakciókra utaló jellegzetes kifejezéseket.

Kiderült, hogy az elmúlt időszakban két kulcsfontosságú szereplő jelent meg a színen. Az Ardamax keylogger szoftver a leütött billentyűket naplózva biztosít hasznos információkat a bejelentkezési adatok ellopásához a csalóknak, és már potom 50 dollárért is be lehet szerezni.

Hasonló célokra használható a jól ismert LokiBot kártevőcsalád, melyet egyre többször használnak az üzleti e-mailes visszaélésekhez is, továbbá a tavalyi Petya vírustámadásoknál is előszeretettel alkalmazták.

Mire UTAL?

A második kategóriánál, azaz a csak e-maileket alkalmazó visszaéléseknél viszont pszichológiai befolyásolási (social engineering) technikákra támaszkodnak a csalók, kifinomult eszközöket alkalmazva, hogy leveleik a lehető leghitelesebbnek tűnjenek.

Ilyen például a tárgy mező, a válaszcím és a feladó jellemzőinek ügyes használata. Emellett az üzleti e-mailes visszaélések elkövetői általában a vállalat vezetői nevében létrehoznak egy szabályosnak tűnő e-mail-címet. Ehhez vagy egy nem túl megbízható ingyenes webes levelezési szolgáltatót használnak, vagy pedig regisztrálnak egy tartománynevet, amely a célba vett vállalatéhoz hasonló.

Bárki hozzáférhet a „szerszámosládához”

A támadás legfőbb forrása többnyire valamilyen adathalász eszköz, illetve csaló weboldal volt. Jó hír, hogy ezek vizsgálatával azonosítható az elkövető, és az is kideríthető, hogy honnan szerzi be, illetve hogyan használja a csaláshoz szükséges eszközöket.

Egy adott elkövetőnek nyomait több adathalász webhelyen is megtalálták a szakemberek, ami arra utal, hogy az üzleti e-mailes csalók jellemzően több weboldalt is használnak támadásaik végrehajtásához.

Az elkövetők általában feketepiaci kapcsolatokkal is rendelkeznek, így további eszközöket is beszerezhetnek a sikeres támadások kivitelezéséhez.

Még a tapasztalatlanabb üzleti e-mailes csalók is hozzájuthatnak a megfelelő forrásokhoz, hiszen egyszerűen beszerezhetők olyan útmutatók (például levélszemét küldéséhez), amelyek segítenek az első lépések megtételében. Ez azt jelenti, hogy a szükséges eszközök és módszerek minden különösebb erőfeszítés nélkül hozzáférhetők.