Hoe om te gaan met interne BEC-aanvallen

BEC-aanvallen die gecompromitteerde mailboxen gebruiken zijn extra gevaarlijk. Hier leest u hoe we hebben geleerd om ze te identificeren.

De afgelopen jaren hebben we gezien dat business e-mail compromise-aanvallen (BEC-aanvallen) steeds meer voorkomen. Hun doel is om zakelijke correspondentie te compromitteren om zo financiële fraude te kunnen plegen, vertrouwelijke informatie te verkrijgen of om de reputatie van een bedrijf te beschadigen. In onze vorige post over de soorten BEC-aanvallen en de manieren om hier mee om te gaan, hadden we het over e-mailkapingen. Vandaag hebben we het echter over het gevaarlijkste type BEC-aanval: de interne BEC. We hebben onlangs een nieuwe technologie ontwikkeld en geïmplementeerd om bescherming te bieden tegen deze specifieke dreiging.

Waarom een interne BEC gevaarlijker is dan een externe

Interne BEC-aanvallen verschillen van andere aanvalsscenario’s omdat in dit geval de frauduleuze e-mails vanaf legitieme adressen binnen één bedrijf worden verzonden. In andere woorden: om een interne aanval te starten, moet een aanvaller toegang hebben verkregen tot de mailaccount van een werknemer. Dat betekent dat u niet kunt vertrouwen op e-mail-authenticatiemechanismes (DKIM, SPF, DMARC) om zo’n aanval te voorkomen. Ook de standaard automatische anti-phishing- en antispam-tools, die naar onregelmatigheden in technische headers of gewijzigde adressen kijken, helpen hier niet tegen.

Normaal gesproken bevat het bericht van de gecompromitteerde mailbox een verzoek om geld over te maken (aan een leverancier, opdrachtgever of belastingkantoor), of om vertrouwelijke informatie te sturen. En dat gebeurt allemaal in combinatie met een aantal vrij standaard social-engineering-trucs. De cybercriminelen proberen de ontvanger haast te laten maken (als we de rekening niet vandaag betalen, krijgt het bedrijf een boete!), maken gebruik van dreigementen (ik vroeg je vorige maand al om de betaling te voldoen, waar wacht je in godsnaam nog op?!), gebruiken een autoritaire toon die geen ruimte voor vertraging toestaat, of ze gebruiken andere trucs uit het draaiboek voor social engineering. In combinatie met een legitiem adres kan dit een zeer overtuigende indruk achterlaten.

Interne BEC-aanvallen kunnen ook gebruikmaken van e-mails met links naar nepsites waarvan de URLs met slechts een of twee letters verschillen van het daadwerkelijke adres van de organisatie (of een andere vertrouwde pagina), zoals bijvoorbeeld een hoofdletter “i” in plaats van een kleine “l”, of andersom. De website bevat een betalingsformulier of enquête waarin om vertrouwelijke informatie wordt gevraagd. Stelt u zich bijvoorbeeld eens voor dat u de volgende e-mail van het adres van uw baas ontvangt: “We hebben besloten om je naar de conferentie te sturen. Boek het kaartje z.s.m. vanaf ons account zodat we van de vroegboekkorting profiteren. Samen met een link die eruitziet als de site van het belangrijkste evenement in uw industrie, ziet dat er vrij overtuigend uit. Hoe groot is de kans dat u de tijd neemt om elke letter in de naam van de conferentie tot helemaal aan de afsluiting van de e-mail aan toe te controleren om te kijken of alles klopt?

Hoe u uw bedrijf tegen interne BEC-aanvallen beschermt

In technisch opzicht is de e-mail volkomen legitiem, en de enige manier om een nepmail te herkennen is om de inhoud te beoordelen. Door tal van nepberichten door machine-learning-algoritmes te halen, is het mogelijk om bepaalde kenmerken te identificeren die kunnen helpen bepalen of een bericht echt is of deel uitmaakt van een BEC-aanval.

Gelukkig (of misschien ook niet) hebben we geen gebrek aan voorbeelden. Onze vallen voor zulke e-mails vangen elke dag miljoenen spamberichten van over de hele wereld. Deze e-mails omvatten veel phishing-e-mails, wat natuurlijk geen interne BEC-aanvallen zijn, maar ze maken wel gebruik van dezelfde trucs en hebben hetzelfde doel, dus we kunnen ze hier wel voor gebruiken. Om te beginnen trainen we een classifier op deze grote hoeveelheid aan voorbeelden om berichten te identificeren die tekenen van fraude vertonen. De volgende fase van het machine-learning-proces werkt rechtstreeks met de tekst. De algoritmes kiezen termen uit voor de detectie van verdachte berichten, en op basis daarvan ontwikkelen we heuristieken (regels) die onze producten kunnen gebruiken om aanvallen te identificeren. Er is een heel ensemble van machine-learning classifiers betrokken bij dit proces.

Maar dat betekent niet dat we rustig achterover kunnen leunen. Onze producten kunnen nu veel meer BEC-aanvallen detecteren dan eerder, maar als een indringer toegang heeft verkregen tot het e-mailaccount van een werknemer, kan diegene hun stijl bestuderen en deze proberen te imiteren tijdens een unieke aanval. Waakzaamheid is nog altijd extreem belangrijk.

We raden aan om lang en goed naar berichten te kijken die vragen om geld over te maken of verzoeken om vertrouwelijke informatie vrij te geven. Voeg een extra beveiligingslaag toe door de collega in kwestie even te bellen of een berichtje te sturen (via een vertrouwde dienst), of spreek ze even persoonlijk om om opheldering te vragen.

We gebruiken de heuristiek die onze nieuwe anti-BEC-technologie genereert in Kaspersky Security for Microsoft Office 365, en zijn ook van plan om deze in andere oplossingen te implementeren.

Tips