Alle virksomheter er avhengige av e-post til en viss grad. E-postbaserte angrep mot bedrifter er derfor et kraftig verktøy for nettkriminelle. De er også vanskelige å beskytte seg mot fordi de bare krever at én person i et selskap samhandler med, og faller for, dem.
Phishing-e-poster er de mest åpenbare. Under et phishing-angrep blir en ansatt bedt om å klikke på en lenke og passordet deres blir stjålet når de gjør det. Men bedrifter må også se etter mer sofistikerte angrep.
Vendor Email Compromise (VEC) er et nytt angrep som er basert på forretnings-e-postkompromiss. Så hva er det og hvordan fungerer det?
Hva er Business Email Compromise?
Business e-postkompromiss (BEC)-angrep involverer vanligvis etterligning av ansatte på høyt nivå. Angriperen lærer først nok om en bedrift til å vite hvem som jobber der. Dette er ikke vanskelig å gjøre fordi bedrifter ofte deler mye av denne informasjonen på nettet.
Angriperen oppretter en e-postadresse som inkluderer navnet på administrerende direktør og kontakter en ansatt som utgir seg for denne personen. Den ansatte vil da bli bedt om å foreta en hastebankoverføring. E-posten vil inneholde både en plausibel grunn for å gjøre det og en følelse av at det haster.
Angrepet er avhengig av at ansatte ofte vil foreta overføringen av frykt for å bli sparket eller på annen måte få konsekvenser.
Hva er leverandørens e-postkompromiss?
VEC-angrep er en type BEC-angrep. I motsetning til tradisjonelle BEC-angrep, retter de seg spesifikt mot leverandører. Leverandører jobber vanligvis med et stort antall forskjellige virksomheter. Tanken er at hvis en angriper kan etterligne en leverandør, kan de stjele fra alle disse firmaene.
VEC-angrep krever mer arbeid og tar lengre tid å implementere. Men avhengig av størrelsen på leverandøren, kan fortjenesten også være betydelig høyere.
Mens en ansatt kanskje spør hvorfor sjefen deres plutselig vil at de skal foreta en stor bankoverføring, er det ofte helt normalt at en leverandør kommer med denne forespørselen i form av en faktura. Et VEC-angrep retter seg også ofte mot flere virksomheter, mens et BEC-angrep kun retter seg mot én.
Hvordan fungerer VEC?
Det finnes mange varianter av leverandørens e-postkompromiss, og mengden innsats som brukes avhenger av størrelsen på leverandøren og den potensielle gevinsten. De fleste VEC-angrep inkluderer imidlertid følgende faser.
Phishing mot leverandøren
Et vellykket VEC-angrep begynner med å forsøke å få tilgang til e-postkontoer knyttet til en leverandør. Dette oppnås vanligvis ved å sende phishing-e-poster til ansatte i virksomheten. Hvis en ansatt tillater at deres legitimasjon blir stjålet, kan angriperen få tilgang til kontoen sin og starte angrepet.
Lær om leverandøren
Når legitimasjonen er stjålet, kan angriperen logge seg på den ansattes e-post og få informasjon om selskapet og dets kunder. Angriperen må forstå hvor ofte fakturaer sendes ut, hvordan de ser ut og hvem de sendes til.
I denne fasen videresender angriperen vanligvis alle e-poster fra den legitime kontoen til sin egen. Dette lar dem holde oversikt over virksomheten uten å fortsette å få tilgang til kontoen. Dette er nødvendig fordi informasjonen som kreves for å begå angrepet ofte tar mange uker å få, og de kan holde seg under radaren.
Etter at tilstrekkelig informasjon er samlet om leverandøren, kan angriperen forsøke å etterligne dem. Angriperen kan bruke leverandørens e-postadresse som de allerede har tilgang til. Eller de kan opprette en ny e-postadresse som ligner på leverandørens.
De vil da ta kontakt med kundene og be om at det blir foretatt store bankoverføringer. På dette tidspunktet forstår svindleren både hvordan legitime e-poster vises og hva slags overføringsforespørsler som er fornuftige. Dette lar dem lage e-poster som er svært realistiske.
Mange bedrifter vil betale fakturaen automatisk uten å be om bekreftelse.
Hva skjer hvis du er et offer for VEC?
Leverandørens e-postkompromiss påvirker to parter, nemlig selskapet og deres kunder.
Selv om leverandøren kan lide skade på sitt rykte, taper de ingen penger direkte til angriperne. Informasjon blir stjålet fra e-postkontoene deres, men denne informasjonen brukes til å stjele penger fra andre mennesker.
De primære ofrene for dette angrepet er kundene. Beløpet de taper avhenger av hvor mye de vanligvis betaler leverandøren og om angriperen er i stand til å få dem til å sende mer enn det beløpet. Fordi angriperne er anonyme, er det vanligvis umulig å få tilbake betalingen.
Hvordan beskytte mot VEC
Både leverandører og deres kunder kan beskytte seg mot VEC-angrep ved å øke opplæringen av ansatte og endre hvordan e-poster får tilgang.
Lær opp ansatte til å identifisere falske e-poster
Denne typen angrep blir betydelig vanskeligere hvis de ansatte som jobber for både leverandøren og kundene deres er opplært til å oppdage falske e-poster. Alle ansatte bør forstå trusselen utgjøres av phishing.
Enhver e-post som inkluderer en faktura bør også gjennomgå ytterligere gransking før noen betaling foretas. E-postene som sendes til leverandørens kunder er ofte realistiske og sendes ut til vanlig tid. Men de kan fortsatt oppdages fordi enten e-postadressen ikke samsvarer eller betalingen blir forespurt til en annen bankkonto.
Implementer tofaktorautentisering
Tofaktorautentisering (2FA) kan beskytte mot phishing. Når den er lagt til en konto, forhindrer den noen fra å logge på med mindre de har tilgang til 2FA-enheten.
Dette forhindrer at VEC-angrep oppstår fordi selv om en ansatt gir angriperen passordet sitt, vil angriperen ikke kunne bruke det.
E-postkompromiss med leverandør er en viktig trussel å forstå
Leverandør-e-postkompromiss er en ny type forretnings-e-postkompromiss som alle leverandører og deres kunder bør være klar over. Det er spesielt problematisk for selskaper som ofte betaler betydelige pengesummer til leverandørene sine – men leverandørene selv bør også være klar over den potensielle skaden på omdømmet deres.
Som de fleste e-postbaserte angrep, er VEC avhengig av at bedriftsansatte ikke vet hvordan de skal identifisere falske e-poster. Det kan derfor forebygges med økt trening. Enkelt men effektivt.