Jaký je nejnákladnější typ kyberzločinu? Podvržený e-mail od šéfa

Ze stále nových a zásadnějších případů napadení ransomwarem by se mohlo zdát, že zaplacení výkupného a/nebo náklady na obnovu zašifrovaných dat přestavují dnes nejčastější – a pro firmy či organizace nejnákladnější – typ kybernetického zločinu. Skutečnost je ale odlišná.

Ransomware je bezpochyby extrémně rozšířený a nebezpečný typ kybernetické hrozby a, jak můžeme vidět i na velmi čerstvém případu napadení systémů Ředitelství silnic a dálnic, náklady na obnovu napadených systémů a dat jdou do milionů. Bohužel, stejně jako částky zaplaceného výkupného v případech, kdy oběti útoků neviděly jinou možnost, jak se opět dostat ke svým datům a obnovit svůj provoz. Přesto musí podniky počítat i s další hrozbou, založenou na sociálním inženýrství.

Ve Spojených státech, a dost pravděpodobně i v řadě dalších zemí, je v současnosti nejnákladnějším typem kyberzločinu tzv. BEC (Business Email Compromise). Jde o podvod, při kterém se útočník vydává za některého z nejvyšších manažerů firmy a přesvědčí někoho ze zaměstnanců k převodu peněz na svůj účet. Americká FBI ve své výroční zprávě 2021 Internet Crime Report uvádí, že tento typ podvodů znamenal pro bezmála 20 tisíc obětí neuvěřitelnou ztrátu ve výši bezmála 2,4 miliardy dolarů.

Abychom tato čísla uvedli do souvislostí – žebříčku kyberzločinů zaznamenaných americkou FBI dominuje phishing (a všechny jeho odnože jako vishing, smishing a pharming) s téměř 324 tisíci obětí, ale pokud jde o související ztráty, ty jsou vyčísleny „jen“ na 44 milionů dolarů. A obávaný ransomware? Ve studii 2021 Internet Crime Report je uvedeno přes 3 700 obětí s náklady přes 49 milionů dolarů. Na objasnění takto „nízké“ částky studie uvádí, že jde pouze o případy hlášené FBI a že do nákladů na řešení ransomwarových útoků není započítán ušlý zisk, ztracený čas a data, stejně jako náklady obětí na pomoc specializovaných firem. Ve skutečnosti budou náklady na ransomwarové útoky bezpochyby výrazně vyšší (například americké ministerstvo financí uvádí jen za první pololetí roku 2021 až 590 milionů dolarů), přesto se tento údaj ani zdaleka neblíží ztrátám způsobeným BEC podvody.

Podvodníci se učí a zlepšují

BEC útoky rozhodně nejsou cíleny jen na americké firmy. Už před několika lety začaly i zaměstnancům českých podniků chodit naléhavé e-maily s falešnými fakturami k proplacení. A podobně jako u jiných typů podvodů, typicky phishingu, sice můžeme čekat i vlny nepříliš dobře provedených a relativně snadno odhalitelných pokusů o BEC podvody, ale jejich původci se jistě budou postupně zdokonalovat.

A jak vlastně BEC podvod probíhá? V jednodušší formě podvodu obdrží zaměstnanec finančního oddělní e-mail od nadřízeného s požadavkem na okamžité proplacení přiložené faktury. Zpráva zní vždy velmi naléhavě – firmě hrozí penále, problémy s důležitým dodavatelem, dotyčný manažer je zrovna na služební cestě atd. – zkrátka útočník se velmi snaží svoji oběť přesvědčit, že nemá přemýšlet a nic si ověřovat, ale okamžitě jednat. Primitivní? Možná ano, ale překvapivě účinné.

Sofistikovanější provedení BEC podvodu zahrnuje i napadení firemní komunikace, například skrze vylákání přístupových údajů k e-mailové schránce prostřednictvím phishingu. Útočník pak stráví nějaký čas zjišťováním informací o organizační struktuře, firemních pravidlech pro schvalování a platby faktur, stejně jako například o dodavatelích, aby byl schopen připravit legitimně vyhlížející žádost o provedení platby. Součástí je také podvržení e-mailové adresy nebo použití doménového jména, velmi podobného doméně napadené firmy. Čím více času útočníci přípravě věnují, tím větší je jejich šance na úspěch a velký zisk.

Deepfake technologie v rukách kyberzločinců

Podvody typu BEC se zatím týkají především e-mailové komunikace, už se ale objevily i případy podvodů, založených na podvržení komunikace prostřednictvím videokonferenčních platforem jako jsou Microsoft Teams, Google Meet a další. Podvod probíhá tak, že se manažer připojí k tele- či videokonferenci a po svém podřízeném žádá provedení převodu peněz. Ale protože je na cestách a má špatné připojení, je namísto živého videa z webkamery vidět jen statická fotografie a také hlas je „nějaký zkreslený“…

Zní to neuvěřitelně? Bohužel už řada obětí takovému zadání od šéfa uvěřila a převedla peníze přesně podle požadavku kyberzločince. Navíc se i v této oblasti můžeme „těšit“ na další technologický vývoj. S pomocí získaných vzorků řeči bude možné s nízkými náklady a velkou úspěšností vytvářet podvržené hlasové zprávy, a to samé platí pro podvržená videa. V tomto ohledu bohužel kyberzločincům nahrává snadná dostupnost stále výkonnějších technologií využívajících umělou inteligenci, stejně jako trend práce na dálku, kdy je zadávání úkolů přes e-maily a tele- či videokonference stále běžnější.

Jak se bránit před BEC podvody?

Ochrana před pečlivě připravenými, sofistikovanými podvody typu BEC není snadná a vyžaduje nejen technická, bezpečnostní řešení, ale také nastavení a dodržování ověřovacích procesů před odesláním peněz – bez ohledu na to, jak vysoký manažer převod požaduje a v jak značné časové tísni se má transfer provést. Soubor opatření by měl obsahovat především:

• Vícefaktorové ověřování přihlašování k podnikovým e-mailovým účtům. Právě odcizením přihlašovacích údajů k firemní e-mailové schránce mnoho BEC podvodů začíná.
• Kvalitní řešení kontroly e-mailů, které rozpozná nejen spam a phishing, ale také upozorní na potenciálně nebezpečné e-mailové adresy a pomocí umělé inteligence varuje před zprávami, které vybočují z obvyklého stylu komunikace odesílatele.
• Pravidla pro osobní ověřování větších plateb s nadřízenými a dvojitou kontrolu všech běžných plateb – například dodavatelských faktur.
• Monitorování sítě v reálném čases detekcí podezřelých aktivit, které by mohly znamenat shromažďování informací pro přípravu cíleného, sofistikovaného útoku.
• Pravidelná školení všech zaměstnanců ohledně kybernetických hrozeb a trénink jejich rozpoznávání.

BEC útoky jsou cíleny přímo na zaměstnance, a proto je jejich povědomí o indikátorech a průběhu kyberútoků extrémně důležité, stejně jako dodržování nastavených pravidel pro schvalování plateb.

Michaela Látalová
Marketingový specialista pro B2B Míša se v O2 stará o to, aby české firmy měly vždycky dost informací o trendech v cyberscurity a ICT. Plní blog články, natáčí podcasty a firmy zásobí e-mailingy se žhavými novinkami.