VD-mail Ett hot att ta på allvar. Om nya former av e-postbedrägerier och vilka metoder som finns att stoppa dem.

Transkript

1 VD-mail Ett hot att ta på allvar Om nya former av e-postbedrägerier och vilka metoder som finns att stoppa dem.

2 VD-MAIL ETT HOT ATT TA PÅ ALLVAR Enkelhet och bra avkastning per angrepp sammanfattar ganska bra varför Business Compromise (BEC), eller vd-mail som vi kallar det för i Sverige, har blivit en sådan lukrativ marknad för cyberbrottslingar. Enligt våra egna beräkningar genererar ett sådant enskilt angrepp i genomsnitt 1,2 miljoner kronor. Under 2017 förutspår vi på Trend Micro att vd-mail kommer att förbli en stor företeelse och att de dessutom kommer att användas för mer målinriktade bedrägerier. Själva angreppet är inte särskilt avancerat, men däremot ganska raffinerat och därför bör den som är ytterst ansvarig för säkerheten i organisationen, se till att skaffa bra system och rutiner som snabbt identifierar varje typ av sådant försök. I det här kompendiet försöker vi reda ut vad de olika attackerna kan ta för form och vad man bör hålla utkik efter för att skydda sig. Dessutom delar vi med oss av input från Ragn-Sells som drabbats flera gånger, men lyckats stoppa attackerna i tid. 2

3 VD-mail. Så fungerar det. En förfalskad avsändardomän Bedragarna registrerar vanligtvis en domän som liknar sitt mål. Om e-posten är kan en bedragare använda en variant såsom eller ändra stavningen något till alltså en blott märkbar skillnad. Enligt våra egna analyser av verkliga fall innehåller oftast meddelanderubriken något kring omedelbar eller brådskande betalning : Betalning Viktigt Meddelande om betalning Processa betalning Snabb förfrågan Betalningspåminnelse Förfrågan om banköverföring 3

4 Avsändaren har en hög position Mailet ser nästan alltid ut att komma från någon som har en hög position i organisationen. Baserat på våra data är det oftast personer med titlar såsom vd, grundare, koncernchef eller administrativ chef. Innehållet i mailet Vid vd-mailbedrägerer är budskapet alltid att det finns ett akut behov och att åtgärden bör genomföras så snart som möjligt. Det är alltså en varningsflagga för den typen av innehåll. Något annat att vara uppmärksam på är om meddelandet ber om en betalning eller överföring till ett konto som skiljer sig från det som normalt används för den typ av transaktion. Den sociala manipulationen är ofta ganska raffinerad och meddelandet är ofta utformat så att man får känslan av att betalningen inte behöver verifieras eller fakturan attesteras. Och eftersom det kommer från en hög chef i organisationen, kan ju ekonomiavdelningen verkligen känna att det inte behövs. Olika varianter av e-postbedrägerier Vi har tidigare beskrivit den kanske vanligaste formen hittills av vd-mail. Men det finns varianter på temat. Gemensamt för dem är att bedragarna ofta har gjort en ganska grundlig research kring företaget, dess olika befattningshavare, men även kring leverantörer och andra externa personer med inflytande i organisationen. Värt att notera att företag som nyligen har nyanställda på höga poster i företaget kan vara extra intressanta. Här är några ytterligare metoder att vara medveten kring: 1. Falska fakturor från leverantörer Denna metod utnyttjar information kring vilka långvariga leverantörsrelationer företaget har. Fakturan skickas från något som ser ut att vara en e-post från den reda kända leverantören och pengar betalas in till bedragarens konto. 4

5 2. Kontobedrägeriet Precis som I det tidigare exemplet hackas ett e-postkonto för att sedan användas för för frågningar om inbetalningar till bankkonton. Genom att e-postkontot är hackat, kan det skickas till alla de kontakter som identifieras i kontoägarens kontaktlista. Ofta upptäcks inte detta typ av bedrägeri förrän någon som fått mailet hör av sig och begär en verifiering av betalningen. 3. Advokatbedrägeriet Med den här metoden blir vd eller ekonomiavdelning kontaktad av en person som utger sig för att vara en representant från en advokatbyrå om ett ärende som rör en brådskande betalning. Ofta kontaktas den drabbade personen via telefon en eftermiddag eller kväll för att öka sannolikheten för att personen i fråga inte ska ifrågasätta informationen, utan gå vidare med ärendet till snabb betalning. 5

6 4. Datastölden Detta system innebär att personer på specifika funktioner får sina e-postkonton hackade eller kopierade för att sedan användas till förfrågningar kring kollegors och anställdas personliga data. Ofta är det personer som jobbar inom HR som drabbas. Informationen som genereras kan sedan användas för ytterligare bedrägerier. Uppgifterna kan fungera som en språngbräda för mer skadliga attacker mot företaget eller användas för vidareförsäljning på den växande svarta marknaden för identitetsstölder. Inte bara stora företag drabbade Det är viktigt att veta att cyberbrottslingar inte bryr sig om företagets storlek, utan ju fler offer desto bättre. Inte heller behöver de vara särskilt tekniskt bevandrade. Verktyg och tjänster för den här typen av brott finns redan lättillgängligt i internets undre värld. Vilka länder har drabbats värst hittills? 6

7 Vilka titlar på företaget är mest utsatta? Nedan titlar är de som oftast används för att skicka falska e-postmeddelanden internt i organisationen om brådskande betalning där bedragaren utger sig för att vara personen i fråga: CEO 31% President 17% Managing Director 15% President och CEO 13% General Manager 4% Övriga 20% Vilka roller är mest utsatta för att få ett falskt e-post? Anställda på ekonomiavdelningar är de som oftast är målet för vd-mailet. CFO 40,38% Ekonomichef 9,62% Controller 5,77% Ekonomiassistent 3,85% Övriga 36,53% Vilka är de vanligaste ämnesrubrikerna? Våra analyser av vd-mailattacker visar att ämnesrubrikerna ofta bara består av ett eller ett par ord, och är något vaga i övrigt kring vad meddelandet avser mer specifikt. Förfrågan gällande dag, månad, år Överföring Förfrågan Brådskande Förfrågan om överföring Vilka är verktygen som används mest frekvent? De verktyg som används för BEC eller vd-mailattacker är som sagt både billiga och lättillgängliga. De flesta skadliga program som används i BEC-system är off-the-shelf varianter, sådana som lätt kan köpas online till ett lågt pris eller till och med erhållas gratis. 7

8 Bästa tipsen för att skydda din organisation Många gånger har bedragarna samlat in tillräckligt med information om hur organisationen fungerar och vem som gör vad, för att komma så nära ett verklighetsbaserat scenario som möjligt. Nedan följer några handsfasta råd att agera på så snart som möjligt för att stå redo för eventuella bedrägeriförsök: VAR EXTRA VAKSAM på e-postmeddelanden som uppmanar till snabb betalning eller överföring. DUBBELKONTROLLERA nya leverantörsuppgifter. Om ett e-postmeddelande innehåller information från en leverantör att nya konto- eller bankuppgifter gäller för betalningar, kan det vara bra att göra en dubbel verifiering av det genom att kontakta leverantören via telefon eller på annat sätt. SE TILL ATT ALLTID VERIFIERA betalningen och frångå inte de rutiner ni har: Det lönar sig alltid att bekräfta uppgifterna med de berörda parterna, särskilt när det gäller meddelanden som involverar överföringar. Dock bör inte verifieringen endast ske via e-post, eftersom man då riskerar att fortsätta kommunicera bedragaren. Ha alltid parallella system för verifieringar; via ekonomisystemet eller via andra kommunikationskanaler. Ibland kan det räcka med ett telefonsamtal. ANVÄND INTE SVARA -FUNKTIONEN. Om ni ändå har en rutin för e-postverifiering, se till att inte svara på den här typen av mail. Använd i stället vidarebefordra och säkerställ att du hämtar mottagarens namn från kontaktlistan i e-postprogrammet. På så sätt riskerar ni inte att fortsätta kommunicera med bedragarna. HA RÄTT SÄKERHETSLÖSNINGAR på plats. Utmaningen med e-post som används i vd-mailbedrägerier är att innehållet som sådant inte innehåller några detekterbara virus eller infek terade bilagor. Därför rekommenderar vi att också ha en lösning på plats som är kontextmedveten och som upptäcker avvikelser, som ett komplement till förbättrade rutiner kring det rena hand havandet av betalningar. UTBILDA ANSTÄLLDA regelbundet. Anställda är oftast den svagaste länken när det gäller säkerhet och i slutändan är det ju den anställde som blir avgörande för om organisationen blir inblandad i bedrägeriet eller inte, Ständiga påminnelser och tydliga rutiner är nödvändigt för att undvika att fastna i fällan. Om du misstänker att du har varit föremål för ett e-postbedrägeri, rapportera händelsen omedelbart till polisen. 8

9 Ragn-Sells upptäckte bedrägeriet i tid Återvinningsföretaget Ragn-Sells har två gånger det senaste året varit utsatt för bedrägeriförsök liknande de exempel vi beskriver i det här kompendiet. När de vände sig till polisen visade det sig att det just vid den tidpunkten hade kommit in flera anmälningar från andra företag med liknande erfarenheter. Båda gångerna upptäcktes bedrägeriförsöken genom att medarbetaren på ekonomiavdelningen dubbelkollade att fakturan verkligen stämde. Tydliga rutiner är otroligt viktigt och kommer sannolikt att bli ännu viktigare när bedragarna hela tiden hittar nya kryphål, säger Stefan Krantz, Global Infrastructure Manager på Ragn-Sells. I båda fallen var själva upplägget väldigt autentiskt arrangerat. Fakturorna såg ut att komma från befintliga leverantörer som Ragn-Sells jobbar med. Det interna mailet i sin tur skulle föreställa att komma från företagets CFO, via en e-postadress som var identisk så när som på en bokstav. I övrigt följde aktiviteten det ganska förutsägbara händelseförloppet att det var en brådskande betalning som skulle hanteras direkt. Alla leverantörsfakturor går ju normalt alltid genom vårt ekonomisystem, men det finns ändå alltid undantag och det vet ju bedragarna om, säger Stefan Krantz. Bästa tipsen För en säkerhetsstrategi behöver ju alla möjliga hot mot företagets digitala tillgångar inkluderas. Och i det ingår då även aktuella företeelser som ransomware, olika former av spionage men även den ständiga frågan om sårbarheter i programvaror. Stefan Krantz delar med sig av sina bästa tips för ett uppdaterat säkerhetstänk: Ha ett fullgott antivirusskydd på både klienter och servrar. Tänk brett men också i olika nivåer. Fundera på om ni ska tillåta trafik via företagets webbservrar till alla länder i världen? Behövs verkligen det? Ragn-Sells har satt stopp för trafik till och från Kina och Ryssland. Ha tydliga rutiner och utbilda all personal kring IT-säkerhetsfrågor löpande. Inga system är bättre än sin svagaste länk, och oftast är det personalen om de inte har tillräckliga kunskaper. Polisanmäl direkt om ni råkar ut för något. Tillsammans kan vi som är drabbade hjälpa polisen att spåra och hitta förövarna. Sexsiffriga belopp För Ragn-Sells del handlade det om sexsiffriga belopp som bedragarna försökte få igenom. Efter händelserna har Ragn- Sells skärpt rutinerna ytterligare och har dessutom investerat i ytterligare lösningar för både klient- och serverskydd för att kunna identifiera eventuellt misstänkt innehåll. Brett säkerhetstänk på alla nivåer är Stefan Krantz utgångspunkt för att säkra upp organisationens digitala tillgångar och för att hindra bedrägeriförsök som vd-mail framåt. Ragn-Sells är ett väldigt bra exempel på hur man bör lägga upp sin säkerhetsstrategi idag, där man måste bygga sin säkerhetsinfrastruktur i olika lager. Det går inte bara att för lita sig på att skydda exempelvis klienter eller mailserver, utan man behöver täcka in alla områden med olika tekniska lösningar som är integrerade med varandra, säger Johan Jarl. IT- säkerhetsexpert på Trend Micro i Sverige. 9

10 Olika typer av skydd från Trend Micro E-POST. Funktioner i lösningarna Trend Micro User Protection och Network Defense kan blockera e-postmeddelanden som används för vd-mailattacker. SOCIAL MANIPULATION. InterScan Messaging Security Virtual Appliance, som är en del av Trend Micros lösningar för användarskydd, har funktioner för att upptäcka e-postmeddelanden som använder så kallad social manipulation för att skapa attacker. SKADLIG KOD. Endpoint-säkerhetslösningar kan detektera avancerade former av skadlig kod och andra hot som används för vd-mailattacker. För frågor eller mer information Telefon: E-post: kontakt@trendmicro.se 10