Alle virksomheder er til en vis grad afhængige af e-mail. E-mail-baserede angreb mod virksomheder er derfor et stærkt værktøj for cyberkriminelle. De er også svære at beskytte sig imod, fordi de kun kræver, at én person i en virksomhed interagerer med og falder for dem.
Phishing-e-mails er de mest oplagte. Under et phishing-angreb bliver en medarbejder bedt om at klikke på et link, og deres adgangskode bliver stjålet, når de gør det. Men virksomheder skal også passe på mere sofistikerede angreb.
Vendor Email Compromise (VEC) er et nyt angreb, der er baseret på virksomheds-e-mail-kompromis. Så hvad er det, og hvordan virker det?
Hvad er Business Email-kompromis?
Business email kompromis (BEC)-angreb involverer typisk efterligning af medarbejdere på højt niveau. Angriberen lærer først nok om en virksomhed til at vide, hvem der arbejder der. Dette er ikke svært at gøre, fordi virksomheder ofte deler mange af disse oplysninger online.
Angriberen opretter en e-mailadresse, der indeholder navnet på den administrerende direktør og kontakter en medarbejder, der udgiver sig for denne person. Medarbejderen vil herefter blive bedt om at foretage en hasteoverførsel. E-mailen vil indeholde både en plausibel grund til at gøre det og en følelse af, at det haster.
Angrebet er afhængigt af, at medarbejderne ofte vil foretage overførslen af frygt for at blive fyret eller på anden måde udsat for konsekvenser.
Hvad er leverandørens e-mail-kompromis?
VEC-angreb er en type BEC-angreb. I modsætning til traditionelle BEC-angreb er de specifikt rettet mod leverandører. Leverandører arbejder typisk med et stort antal forskellige virksomheder. Ideen er, at hvis en angriber med succes kan efterligne en leverandør, kan de stjæle fra alle disse firmaer.
VEC-angreb kræver mere arbejde og tager længere tid at implementere. Men afhængigt af leverandørens størrelse, kan fortjenesten også være væsentligt højere.
Mens en medarbejder kan stille spørgsmålstegn ved, hvorfor deres chef pludselig vil have dem til at foretage en stor bankoverførsel, er det ofte helt normalt, at en leverandør fremsætter denne anmodning i form af en faktura. Et VEC-angreb er også ofte rettet mod flere virksomheder, mens et BEC-angreb kun er rettet mod én.
Hvordan virker VEC?
Der er mange variationer af leverandør-e-mail-kompromis, og mængden af indsats, der anvendes, afhænger af leverandørens størrelse og det potentielle udbytte. De fleste VEC-angreb omfatter dog følgende faser.
Phishing mod sælgeren
Et vellykket VEC-angreb begynder med et forsøg på at få adgang til e-mail-konti, der er knyttet til en leverandør. Dette opnås typisk ved at sende phishing-e-mails til medarbejdere i virksomheden. Hvis en medarbejder tillader, at deres legitimationsoplysninger bliver stjålet, kan angriberen derefter få adgang til deres konto og begynde angrebet.
Lær om leverandøren
Når legitimationsoplysninger er stjålet, kan angriberen logge ind på medarbejderens e-mail og få information om virksomheden og dens kunder. Angriberen skal forstå, hvor ofte fakturaer sendes ud, hvordan de ser ud, og hvem de sendes til.
I denne fase videresender angriberen normalt alle e-mails fra den legitime konto til deres egen. Dette giver dem mulighed for at holde styr på virksomheden uden at fortsætte med at få adgang til kontoen. Dette er nødvendigt, fordi den information, der kræves for at begå angrebet, ofte tager mange uger at få, og de kan holde sig under radaren.
Efter at der er indsamlet tilstrækkelig information om leverandøren, kan angriberen forsøge at efterligne dem. Angriberen kan bruge leverandørens e-mailadresse, som de allerede har adgang til. Eller de kan oprette en ny e-mailadresse, der ligner leverandørens.
De vil så kontakte kunderne og anmode om, at der skal foretages store bankoverførsler. På dette tidspunkt forstår svindleren både, hvordan legitime e-mails vises, og hvilken slags overførselsanmodninger, der giver mening. Dette giver dem mulighed for at oprette e-mails, som er yderst realistiske.
Mange virksomheder vil betale fakturaen automatisk uden at anmode om bekræftelse.
Hvad sker der, hvis du er offer for VEC?
Leverandør-e-mail-kompromis påvirker to parter, nemlig virksomheden og deres kunder.
Selvom sælgeren kan lide skade på deres omdømme, mister de ingen penge direkte til angriberne. Oplysninger bliver stjålet fra deres e-mail-konti, men disse oplysninger bruges til at stjæle penge fra andre mennesker.
De primære ofre for dette angreb er kunderne. Det beløb, de taber, afhænger af, hvor meget de normalt betaler til sælgeren, og om angriberen er i stand til at få dem til at sende mere end dette beløb. Fordi angriberne er anonyme, er det normalt umuligt at inddrive betalingen.
Sådan beskyttes mod VEC
Både leverandører og deres kunder kan beskytte sig selv mod VEC-angreb ved at øge medarbejderuddannelsen og ændre, hvordan e-mails tilgås.
Træn medarbejdere til at identificere svigagtige e-mails
Denne type angreb bliver betydeligt vanskeligere, hvis de ansatte, der arbejder for både leverandøren og deres kunder, er uddannet til at opdage svigagtige e-mails. Alle medarbejdere bør forstå truslen udgivet af phishing.
Enhver e-mail, der indeholder en faktura, bør også gennemgå yderligere undersøgelse, før der foretages nogen betaling. De e-mails, der sendes til leverandørens kunder, er ofte realistiske og sendes ud på det sædvanlige tidspunkt. Men de kan stadig registreres, fordi enten e-mailadressen ikke stemmer overens, eller betalingen anmodes om til en anden bankkonto.
Implementer to-faktor-godkendelse
To-faktor-godkendelse (2FA) kan beskytte mod phishing. Når først det er føjet til en konto, forhindrer det nogen i at logge ind, medmindre de har adgang til 2FA-enheden.
Dette forhindrer VEC-angreb i at forekomme, fordi selvom en medarbejder giver angriberen deres adgangskode, vil angriberen ikke være i stand til at bruge den.
Forhandler-e-mail-kompromis er en vigtig trussel at forstå
Leverandør-e-mail-kompromis er en ny type virksomheds-e-mail-kompromis, som alle leverandører og deres kunder bør være opmærksomme på. Det er især problematisk for virksomheder, der ofte betaler betydelige summer til deres leverandører - men leverandørerne bør også selv være opmærksomme på den potentielle skade på deres omdømme.
Ligesom de fleste e-mail-baserede angreb er VEC afhængig af, at forretningsmedarbejdere ikke ved, hvordan man identificerer svigagtige e-mails. Det kan derfor forebygges med øget træning. Simpelt men effektivt.