2.3 miliardy dolarů ztraceno přes e-maily vydávající se za vašeho šéfa

“CEO Fraud” je podle FBI na dramatické vzestupu a na svědomí má až 2.3 miliardy dolarů finančních škod. Přitom je to tak průhledné

Přijde e-mail, který vypadá jako od vašeho nadřízeného, ve kterém vás žádá o zaplacení faktury. Protože vás ani nenapadne prověřovat, jestli něco takového opravdu poslal on (či ona), tak peníze neprodleně převedete. Podle FBI něco takového může za škody ve výši 2.3 miliardy dolarů za poslední tři roky a co navíc, od ledna 2015 došlo k 270% nárůstu. Vše přitom vychází pouze ze škod zjištěných od poškozených, bude zde další množství těch, kteří se nepřihlásili.

Klasický phishing (rhybaření) buď využívá toho, že se útočníkovi podařilo získat přístup k e-mailu uvnitř firmy, zejména takovému, kde je možné předpokládat, že může vyžadovat uskutečnění platby. Nebo využívají domény, které jsou vizuálně podobné té, ze které by e-mail mohl přijít. Ve všech případech je nutné, aby útočník zjistil alespoň základní informace o společnosti – pokud se mu ale podařilo získat přístup k e-mailům, nemusí to být až tak složité.

Pokud ne, tak řada užitečných informací je k nalezení v podobě digitální stopy na webech firem ale i jinde na Internetu. Co se nedá zjistit vyhledáváním, lze snadno zjistit trochou sociálního inženýrství. Výhoda této formy phishingu je, že útočník se nemusí vydávat přímo za někoho z určité firmy při komunikaci s bankou, ale využije k tomu nepozorného zaměstnance samotné firmy.

Podle FBI, což je také zajímavé, průměrná škoda u jedné firmy je mezi 25 tisíci až 75 tisíci dolary. Nikoliv tedy malá. FBI navíc upozorňuje, že existují ojedinělé případy, které firmy připravily i o miliony dolarů. V médiích můžete najít podobné případy, Mattel v roce 2015 přišel o 3 miliony dolarů, Ubiquiti dokonce o 46,7 milionu dolarů.

Bránit se proti získání přístupu do poštovních schránek je přitom možné, stačí chránit přihlášení například dvoufaktorovým ověřením. Proti hlouposti některých zaměstnanců pak jedině tak, že budou nastaveny vnitřní ověřovací mechanismy, které znemožní vyplacení částky jenom na základě toho, že někdo dostane e-mail. Protože jak známo, e-mail je možné vždy falšovat a podvrhávat (viz Jak je možné, že někdo může falšovat odesílatele e-mailu?). Pomoci by mělo i vhodné nastavení DKIM/SPF, ale proti případnému zneužití e-mailové schránky to neochrání.

p1

Pokud se chcete podívat jak takový phishing může vypadat, podívejte se na Wire Fraud Phisher attempts to phish PhishMe, instead gets phished by PhishMe (odkud pochází výše použitý screenshot).

Popisují tam přesně takový případ – víceprezident pro finance dostal phishingový mail, který vypadal jako když pochází od CEO. Celé je to hlavně zajímavé tím, že to pokračuje až do momentu odhalení identity útočníka. Tedy alespoň jeho IP adresy, která byla předána policii.