BEC

Jedná se o sofistikovaný způsob podvodu, který primárně využívá techniky sociálního inženýrství a podvržení identity k oklamání zaměstnanců firem za účelem získání finančních prostředků nebo citlivých informací. 

Podstata BEC útoků 

BEC útoky stojí na psychologické manipulaci a zneužití důvěry mezi zaměstnanci a vedením firmy. Útočníci se vydávají za vedoucí pracovníky, generální nebo finanční ředitele i jiné členy vedení společnosti, případně za důvěryhodné obchodní partnery či dodavatele, a požadují provedení zdánlivě legitimních finančních operací nebo sdělení citlivých informací. Hlavním cílem těchto útoků tedy není instalace škodlivého kódu, ale manipulace se samotnými zaměstnanci firmy. Právě proto je tyto útoky obtížné zachytit čistě technickými prostředky, ale je nutná kombinace technických a procesních opatření.  

Základem úspěšného BEC útoku je důkladná příprava útočníků, kteří svůj cíl často studují celé měsíce. Získávají informace o organizační struktuře, finančních procesech, komunikačních vzorcích a klíčových osobách v organizaci. Tyto informace čerpají z veřejně dostupných zdrojů, sociálních sítí, podnikových webových stránek nebo prostřednictvím předchozích, často nedetekovaných nebo méně významných, útoků. Teprve po získání dostatečného množství informací přistupují k samotnému BEC útoku. 

Evoluce BEC útoků 

BEC útoky přicházejí společně s masovým rozšířením elektronické pošty v podnikové sféře. První zmínky o technikách sociálního inženýrství lze najít již v dokumentu „System Security: A Hacker’s Perspective“ od autorů Jerryho Felixe a Chrise Haucka, ale samotný koncept BEC útoků se začal formovat až na přelomu tisíciletí. V České republice se první medializované případy začaly objevovat kolem roku 2015, kdy mnoho firem obdrželo faktury za nevyžádané služby. V roce 2017 se situace zhoršila s nástupem podvržených e-mailů, ve kterých údajní ředitelé podniků naléhavě žádají účetní o rychlé proplacení faktur. 

Zásadním globálním problémem jsou BEC útoky zhruba od roku 2010, kdy začaly být stále sofistikovanější a také organizované. FBI poprvé oficiálně identifikovala a pojmenovala tuto hrozbu kolem roku 2013, kdy začala evidovat rapidní nárůst finančních ztrát způsobených těmito typy podvodů. Významným mezníkem byl rok 2018, kdy proběhla Operation Wire Wire, provedená americkou FBI, která vedla k 74 zatčením v několika zemích, zabavení téměř 2,4 milionu dolarů a navrácení přibližně 14 milionů dolarů z podvodných převodů. O rok později následovala operace reWire s 281 zadrženými, zabavením 3,7 milionů dolarů a navrácením 118 milionů dolarů z převodů. 

Techniky BEC útoků 

BEC útoky využívají několik základních technik, které se vzájemně kombinují a doplňují. Základní metodou je tzv. spoofing neboli falšování e-mailových adres. Útočníci vytvářejí e-mailové adresy podobné legitimním adresám organizace, často jen s drobnými změnami v doméně nebo s podobně vypadajícími znaky. 

Pokročilejší technikou je převzetí e-mailových účtů neboli account takeover. Prostřednictvím odcizených přihlašovacích údajů, phishingu nebo jiného způsobu kompromitace získají útočníci přístup k legitimnímu e-mailovému účtu a zneužijí ho k zadávání podvodných příkazů. Tato metoda je obzvláště nebezpečná, protože e-maily skutečně přicházejí z legitimních účtů a prochází všemi bezpečnostními kontrolami. 

Sofistikovanou technikou je také registrace podvodných domén, tzv. typosquatting. Útočníci si registrují domény velmi podobné těm legitimním, například místo správné domény „firma.cz“ použijí „firma.com“, nebo použijí podobně vypadající znaky, například písmeno „l“ nahradí velkým „I“, či podobné znaky jiné abecedy. 

Ovšem skutečnou podstatou BEC útoků je sociální inženýrství. Útočníci využívají k dosažení svých cílů psychologické techniky jako naléhavost, autoritu, strach nebo důvěru. Pro zvýšení věrohodnosti navíc útočníci často kombinují e-mailovou komunikaci s telefonickými hovory. Klíčové je také načasování útoků – často se uskutečňují v období návalu práce a zvýšeného stresu, před koncem čtvrtletí, v období svátků nebo během významných obchodních transakcí. 

Typy BEC útoků 

Nejčastější typ BEC útoku se označuje jako CEO fraud, tedy podvod založený na podvržení identity generálního ředitele nebo jiného vysokého manažera firmy. Útočník jménem ředitele žádá zaměstnance o rychlý bankovní převod, často s poznámkou o důvěrnosti transakce. Tyto útoky využívají hierarchické struktury organizací a respekt zaměstnanců k vedení. 

Další významnou kategorií BEC útoků jsou podvržené faktury. Útočníci se vydávají za dodavatele a zasílají faktury s pozměněnými bankovními údaji. Často může jít o skutečné faktury, které útočníci v komunikaci firmy s dodavatelem zachytili a pozměnili na nich pouze čísla účtů. Tato technika je obzvláště účinná, protože faktury vypadají zcela legitimně. 

Imitování právníků nebo právních zástupců cílí především na nové nebo mladší zaměstnance, kteří si nejsou jistí, jak na takové požadavky reagovat. Útočníci využívají naléhavost a důvěrnost právních záležitostí k vytváření tlaku na rychlé jednání, například sdělení citlivých údajů. 

Specializovanou formou BEC útoků jsou podvody s nemovitostmi, kdy útočníci cílí na kupce nemovitostí a vydávají se za realitní makléře nebo právní firmy. Žádají o změnu bankovních údajů pro převod zálohy nebo kupní ceny. 

Souvislost s dalšími bezpečnostními hrozbami 

BEC útoky úzce souvisejí s phishingem. Jde v podstatě o sofistikovanější formu phishingových útoků, ale zatímco tradiční phishing cílí na široké spektrum obětí s obecnými zprávami, BEC útoky jsou vysoce cílené a personalizované. Využívají stejné psychologické principy, ale mnohem precizněji a s důkladnější přípravou. 

Významnou evoluci BEC útoků představuje technologie deepfake, která přidává podvodné komunikaci zcela novou dimenzi věrohodnosti. Deepfake umožňuje podvržení identity během telefonických hovorů nebo videokonferencí a případy z nedávné doby ukazují, že útočníci takto dokáží přesvědčit zaměstnance k převedení milionových částek. 

BEC útoky se někdy doplňují také s ransomwarovými útoky. V tomto případě útočníci nejprve prostřednictvím BEC útoku získají přístup do organizace a následně zde nasadí ransomware. Při obráceném postupu mohou ransomwaroví útočníci využít techniky BEC k vyjednávání o výkupném za dešifrování dat. 

Také útoky na dodavatelský řetězec často začínají BEC útoky na menší dodavatele, kteří mají slabší bezpečnostní opatření. Prostřednictvím kompromitovaných účtů dodavatelů pak útočníci cílí na větší organizace v řetězci. 

Opatření proti BEC útokům 

Hlavním cílem BEC útoků jsou zaměstnanci, proto je základem obrany jejich školení o tomto typu kybernetické hrozby a nastavení postupů pro ověřování všech neobvyklých požadavků. Každý požadavek na finanční transakci nebo změnu bankovních údajů by měl být ověřen prostřednictvím alternativního komunikačního kanálu, například telefonicky. Stejně jako u architektury nulové důvěry (zero trust) platí i v případě finančních transakcí pravidlo „nikdy nedůvěřuj, vždy ověřuj“.  

Technická opatření zahrnují implementaci vícefaktorové autentizace, která významně komplikuje případné převzetí e-mailových účtů útočníkem. Zabezpečené e-mailové brány mohou odhalit podezřelé e-maily na základě analýzy odesílatele, obsahu zprávy a vzorců komunikace. Legitimnost e-mailových zpráv pomáhají ověřit protokoly e-mailové autentifikace jako SPF, DKIM a DMARC. Monitorování a detekce neobvyklých aktivit v e-mailových systémech mohou odhalit kompromitované účty nebo podezřelé vzorce komunikace. Moderní řešení využívají k analýze a detekci pokusů o podvody také technologii umělé inteligence. 

BEC útoky zohledňuje také legislativa, která vybraným organizacím a odvětvím ukládá povinnost implementovat adekvátní opatření a procesy pro prevenci tohoto typu útoků. Jejich zanedbání může vést nejen k finančním ztrátám při úspěšných útocích, ale také k případným pokutám. Kybernetické pojištění může krýt BEC útoky jako samostatnou kategorii rizika. Jako podmínku pro poskytnutí krytí však pojišťovny obvykle vyžadují implementaci preventivních opatření.  

Další vývoj BEC útoků  

BEC útoky tvoří součást širšího ekosystému kybernetické kriminality, ve kterém specializované skupiny spolupracují na různých fázích útoku. Tento model kyberkriminality formou služby (CaaS – Cybercrime as a Service) znamená, že se specializované týmy zaměřují na konkrétní aspekty procesu, jako jsou získávání přístupů, vytváření falešných domén nebo praní odcizených peněz. Finanční infrastruktura pro BEC útoky zahrnuje složité sítě bankovních účtů, kryptoměnových peněženek a služeb pro převody peněz. Úspěšné útoky často vyžadují rychlé přesměrování finančních prostředků přes více jurisdikcí, aby je nebylo možné vysledovat. 

Vzhledem k přeshraničnímu charakteru BEC útoků je důležitá mezinárodní spolupráce vyšetřovatelů. Organizace jako Europol a Interpol koordinují mezinárodní operace zaměřené na rozbití BEC skupin a jejich infrastruktur. 

V České republice se počet BEC útoků výrazně zvýšil zejména během pandemie COVID-19, kdy se velká část firemní komunikace přesunula do online prostoru. České firmy hlásí případy ztrát v řádech milionů korun, což může být pro menší společnosti likvidační. 

Vývoj BEC útoků směřuje k stále větší sofistikovanosti za využití pokročilých technologií umělé inteligence. Generativní AI umožňuje vytváření personalizovaných podvodných e-mailů ve velkém měřítku a strojové učení pomáhá útočníkům analyzovat komunikační vzorce organizací. 

Technologický vývoj obranných mechanismů zahrnuje pokročilé systémy pro detekci anomálií v komunikaci, biometrickou autentifikaci nebo využití technologie blockchainu pro ověřování transakcí.