Zlorabe poslovne elektronske pošte

Zlorabe poslovne elektronske pošte

Spletni napadi z lažnimi podatki (v kontekstu zlorabe elektronske pošte) so postali pomemben problem, saj so namenjeni tako posameznikom kot organizacijam. Spletni napadalci te napade izkoriščajo za izdajanje za zaupanja vredne vire, s čimer žrtve prepričajo, da razkrijejo občutljive informacije ali postanejo žrtve zlonamernih shem. V zadnjem času se stopnjuje tudi vdiranje v e-poštne sisteme podjetij, vrivanje v poslovnokomunikacijo podjetij in posledično neposredno finančno oškodovanje podjetij, ki so žrtve takšnih zlorab.

Primer vrivanja v poslovno komunikacijo (BEC ali Business Email Compromise)

V ključnem trenutku prodaje se spletni napadalci vrinejo v komunikacijo med prodajalcem in kupcem ter izplačevanje denarnih sredstev preusmerijo na svoje račune. Ko podjetja opazijo nepravilnost, je praviloma že prepozno. Na udaru so predvsem podjetja, ki poslujejo s tujino v velikih zneskih. Napadalci lahko podatke o podjetjih enostavno pridobijo iz javno dostopnih evidenc.

Napadalci vdirajo v e-poštne sisteme podjetij, od koder lahko spremljajo njihovo elektronsko komunikacijo s
strankami. Ko pridobijo dovolj pomembnih informacij o poslovnih procesih, lahko v ključnem trenutku aktivno posežejo v komunikacijo in kupcu pošljejo lažno sporočilo o spremembi transakcijskega računa. Tako preusmerijo plačevanje računov in drugih stroškov na svoje lažne bančne račune. Do trenutka, ko
podjetja ugotovijo, da je nekaj narobe, hitro nastane velika škoda, od nekaj 1000 do več 10.000 EUR.

Potek pridobivanja podatkov o podjetu in elektronskih naslovih

Cilj spletnih napadalcev (hekerjev) je pridobiti vpogled v komunikacijo podjetja, to pa lahko naredijo na različne
načine. Lahko vdrejo v nadzorno ploščo pri ponudniku poštnih storitev ter preusmerijo pošiljanje pošte na svoj e-naslov, od koder neopaženo spremljajo komunikacijo podjetja. Lahko celo okužijo računalnik enega od zaposlenih. Do gesla za dostop do e-pošte se lahko dokopljejo tudi s pomočjo ciljanega phishing napada. Običajni phishing napadi so razposlani na veliko število naslovov in poštni strežniki jih praviloma filtrirajo v vsiljeno pošto. Za razliko od teh so ciljani napadi izvedeni veliko bolj sofisticirano: napadalec izbrani žrtvi pošlje personalizirano sporočilo, ki se izogne poštnim filtrom in obenem deluje bolj verodostojno. Zato je takšen napad v praksi tudi bolj ‘uspešen’. V običajnih phishing sporočilih iz različnih razlogov zahtevajo, da se ponovno vpišete v vaš poštni predal. Če ne, ne boste mogli več dostopati do vaše pošte. Čeprav so vsi razlogi izmišljeni in niso možni niti teoretično, je že grožnja dovolj, da nekateri uporabniki svoje uporabniško geslo in ime vpišejo v lažno phishing stran. V primeru ciljanih napadov pa je napadalčevo sporočilo napisano za točno določenega naslovnika. Ker se vsebina sporočila dejansko navezuje na njegove aktivnosti je veliko bolj verjetno, da bo
naslovnik takšnemu sporočilu tudi nasedel.

Pošiljanje lažnega elektronskega sporočila z lažnimi podatki (zloraba poslovne elektronske pošte)

Ko napadalci pridobijo dostop do e-pošte podjetja, nastavijo posredovanje pošte na svoj e-naslov, ki so ga za ta namen kreirali pri enem od brezplačnih ponudnikov (gmail, hotmail). Nekaj časa nato spremljajo celotno komunikacijo, da ugotovijo na kakšen način poteka poslovanje, plačevanje, predvsem pa da najdejo največje stranke oziroma stranke, pri katerih se odvija večje število transakcij. V ključnem trenutku, na primer pred plačilom nekega večjega računa, aktivno posežejo v komunikacijo.
Pri enem od brezplačnih ponudnikov registrirajo elektronski naslov z imenom in priimkom zaposlenega v podjetju (na primer –  ime.priimek@podjetje.si –  kar naenkrat postane ime.priimek@gmail.com).

Žrtvi potem v njegovem imenu pošljejo podatke o spremenjenem TRR računu za nakazilo. Denarna nakazila tako
preusmerijo na svoje TRR račune, na njihove elektronske račune se preusmeri tudi komunikacija s stranko. Ker uporabniki običajno nismo pozorni na elektronski naslov sogovornika, žrtev redko opazi spremembo.

Kot razlog za spremembo bančnega računa navedejo različne razloge, od tega, da imajo težave s svojo banko, da bo plačilo hitreje sprovedeno, če plačajo na račun v bližnji državi, da sedaj uporabljajo bančni račun posrednika in podobno. V večini znanih primerov je šlo za bančne račune fizičnih oseb. Te osebe tako nakazan znesek takoj po prejemu dvignejo in po neki drugi poti, ponavadi z nakazilom preko sistema Western Union, nakažejo naprej goljufom. Na ta način se sled za denarjem zelo hitro izgubi.

Analiza napada preko zlorabe poslovne elektronske pošte po korakih

 Kako pride do vdora v komunikacijo?

Lahko vdrejo v nadzorno ploščo ponudnika poštnih storitev in preusmerijo pošiljanje pošte na svoj e-naslov, okužijo računalnik enega od zaposlenih, ali pridobijo geslo za dostop do e-pošte s pomočjo ciljanega phishing napada.

Kaj je ciljan phishing napad?

Ciljani napadi so, za razliko od klasičnih, izvedeni veliko bolj sofisticirano: napadalčevo sporočilo je pripravljeno in
oblikovano za točno določenega naslovnika in se tako izogne poštnim filtrom in obenem deluje bolj verodostojno. Zato je takšen napad tudi bolj ‘uspešen’.

 Kako pride do oškodovanja?

Odgovorni osebi (npr. računovodstvu) v imenu zaposlenega pošljejo podatke o spremenjenem TRR računu za nakazilo. Denarna nakazila tako preusmerijo na svoje TRR račune, na njihove elektronske
račune se preusmeri tudi komunikacija s stranko.

Kdo so lastniki teh bančnih računov?

V vseh obravnavanih primerih je šlo za bančne račune fizičnih oseb v lasti t. i. denarnih mul, ki nakazan znesek takoj po prejemu dvignejo in po neki drugi poti, ponavadi z nakazilom preko sistema Western Union, nakažejo naprej goljufom. Na ta način se sled za denarjem zelo hitro izgubi.

Zakaj se sled za denarjem izgubi?

Za pomoč pri dvigovanju in prenakazovanju denarnih sredstev sumljivega izvora kriminalci uporabijo fizične osebe – posrednike, tudi t.i. ‘denarne mule’. Takoj, ko je žrtev ogoljufana in znesek nakazan na osebni račun posameznika, ta posameznik preko sistemov za nakazovanje (Western Union in podobni) prenakažejo znesek, pri tem pa se izgubi sledljivost denarja.

Preventivni ukrepi

Če poslujete s tujino, bodite še posebej pozorni na morebitna nenadna odstopanja od utečenih praks. Vsako spremembo občutljivih podatkov, sploh tistih za nakazilo denarja, preverite na različne načine, tudi prek telefona, orodij za spletno komunikacijo in podobno.

Preverjajte elektronske naslove vaših poslovnih partnerjev. Nekateri programi za elektronsko pošto kot pošiljatelja prikažejo zgolj ime in priimek, ki pa si ju lahko vsakdo nastavi po svoje. Če pa se z miško postavimo na ime, se nam prikaže celoten elektronski naslov. Je ta morda spremenjen? Bodimo pozorni na domeno pošiljatelja (del elektronskega naslova, od znaka @ naprej). Se namesto naslova ime.priimek@podjetje.com kar naenkrat pojavi ime.priimek@gmail.com?

V nastavitvah vašega elektronskega računa redno preverjajte, ali se vaša pošta preusmerja na kakšen neznan elektronski naslov. V Gmailu to preverite v nastavitvah pod zavihkoma »Filtri« in »Posredovanje«, če uporabljate elektronsko pošto drugega ponudnika, se pri njem pozanimajte, kje najdete to nastavitev (preverite posredovanje in filtre). V primeru sumljivega posredovanja ukrepajte takoj. 

Če vam vaš ponudnik elektronske pošte omogoča dostop do vpogleda, iz katerih IP naslovov je bilo dostopano do vašega predala, redno preverjajte te podatke. Na podlagi IP naslova je možno ugotoviti, kateremu ponudniku dostopa pripada, v nekaterih primerih pa tudi približno lokacijo. V primeru kazenskega pregona pa se lahko na podlagi IP naslova ter točnega časa prijave pridobi tudi podatke o uporabniku tega IP naslova.

Ne zanemarjajte morebitnih obvestil o sumljivem dogajanju v elektronskem računu, ki vam jih pošilja vaš ponudnik. Vsako tako obvestilo je potrebno analizirati in ugotoviti vzroke, zakaj je do tega prišlo (pri tem morate paziti, da prepoznate lažna, phishing sporočila, ki na prvi pogled izgledajo, kot da vam jih je poslal vaš ponudnik).

Kakšna je politika gesel v vašem podjetju? Uporabljajte kompleksna gesla in nikoli naj istega gesla ne uporablja več uporabnikov. Posebej skrbno ravnajte z geslom za dostop do nadzorne plošče za elektronsko pošto vašega podjetja. Kraja enega gesla ima lahko za posledico zlorabo prav vseh elektronskih predalov. Zato za dostop do nadzorne plošče uporabljajte 2-faktorsko avtentikacijo , če vam vaš ponudnik to omogoča.