Ukradený firemní e-mail často nevypadá jako průnik. Vypadá jako běžná komunikace, která jen přišla ve správný okamžik.
BEC útok nebývá hlučný. Útočník nemaže data ani nespouští výstrahy. Jen tiše čte, sleduje rytmus firmy a čeká na chvíli, kdy bude stačit jedna dobře načasovaná zpráva.
Business Email Compromise není hlučný útok. Stojí na důvěře v e-mail jako běžný pracovní kanál a na tom, že útočník zůstává co nejdéle nenápadný.
Jakmile se do schránky dostane, často jen čte a učí se, jak firma komunikuje, fakturuje a schvaluje platby.
BEC nevyhrává technickou silou. Vyhrává tím, že působí jako komunikace, kterou ve firmě už všichni znají.
Nejdřív ticho, potom zásah. Právě v tom je BEC tak nepříjemný.
Vstupní brána bývá často obyčejná: phishing, uniklé heslo nebo chybějící MFA. Potom následuje tichá fáze, ve které útočník mapuje komunikaci a čeká na správný okamžik.
Když přijde vhodná chvíle, změní číslo účtu, vloží se do rozběhnuté komunikace s dodavatelem nebo pošle urgentní žádost jménem vedení.
Nejčastěji přes phishing, uniklé heslo nebo chybějící MFA. Samotný vstup ještě nemusí nic viditelného změnit.
Útočník sleduje dodavatele, faktury, způsob schvalování a jazyk firmy. BEC stojí na tom, že nejprve dlouho nic neruší.
Vloží se do existující konverzace, změní platební údaje nebo pošle urgentní požadavek jménem vedení ve chvíli, kdy to vypadá věrohodně.
Útok nebývá exotický. Většinou jen dobře zapadne do provozu firmy.
Podvržená faktura, změna bankovního spojení v existující konverzaci a urgentní platba od šéfa jsou nejběžnější varianty, které firmy potkávají.
Ve všech případech útok stojí na tom, že působí jako běžná firemní komunikace.
Podvržená faktura
Dodavatel vypadá známě, kontext sedí a liší se jen účet nebo detail v příloze. Právě proto bývá chyba odhalená až po odeslání platby.
Změna účtu v rozběhnuté komunikaci
Útočník se nevydává za cizí firmu od nuly. Vloží se do existující výměny e-mailů a působí jako přirozené pokračování konverzace.
Urgentní požadavek od vedení
Rychlá platba, výjimka z procesu nebo citlivý dokument mimo běžný postup. Tlak na rychlost je u BEC klíčová součást útoku.
Samotný e-mail často nic nekřičí. Podezřelý bývá součet drobných signálů.
BEC útok se málokdy prozradí sám. Ale často se objevují podezřelá přihlášení, nečekané forwardingy, změny v nastavení schránky nebo zvláštně působící komunikace.
Žádný signál sám o sobě nemusí být důkaz. Právě jejich kombinace ale dává dobrý důvod jednat včas.
Čtyři signály, které stojí za pozornost
BEC se málokdy prozradí jednou velkou chybou. Spíš drobnými odchylkami v součtu.
- Nečekané forwardingy, inbox pravidla nebo změny v nastavení schránky.
- Podezřelá přihlášení, netypické lokaci nebo přístupy v neobvyklý čas.
- Změna bankovního spojení nebo schvalovacího postupu jen přes e-mail.
- Zpráva působí běžně, ale tlačí na výjimku, utajení nebo obcházení standardního procesu.
Nejúčinnější obrana není jedna funkce. Je to kombinace nastavení a firemního návyku.
Velký dopad má MFA, kontrola přihlášení, omezení nebo audit automatického přeposílání mimo organizaci a provozní návyk ověřovat citlivé požadavky jiným kanálem.
Nejde o drahou magii. Jde o to, aby bylo prostředí rozumně nastavené a firma nespoléhala jen na to, že podezřelý e-mail někdo pozná. U forwardingů a inbox pravidel navíc záleží na konkrétní politice a licencích.
Povinné MFA
MFA výrazně zvyšuje odolnost proti zneužití hesla. Není absolutní záruka, ale bez něj je BEC zbytečně jednodušší.
Kontrola přihlášení a změn schránky
Podezřelá přihlášení, forwardingy nebo inbox pravidla dávají první signál dřív, než se útok projeví ve financích.
Omezení forwardingů mimo organizaci
Automatické přeposílání a pravidla je vhodné blokovat nebo alespoň aktivně auditovat. U Microsoft 365 záleží na konkrétní politice a nastavení.
Ověření jiným kanálem
Změna účtu, urgentní platba nebo citlivý požadavek se má potvrdit telefonem nebo jinou ověřenou cestou. E-mail sám nestačí.
Nestačí změnit heslo. Je potřeba projít i to, co útočník ve schránce změnil.
U kompromitované schránky bývá chyba soustředit se jen na nové heslo. Důležité je zkontrolovat i relace, forwardingy, inbox pravidla, delegace a rozběhnutou komunikaci, která už mohla být útočníkem ovlivněná.
Co řešit hned
První kroky po podezření na kompromitovaný účet
Rychlá kontrola připravenosti firmy
Čtyři otázky, které rychle ukážou, jestli je BEC řešený systémově.
- Má každý účet s firemním e-mailem skutečně vynucené MFA?
- Sledují se forwardingy, inbox pravidla a změny v nastavení schránek?
- Ověřují se změny účtu a citlivé platby jiným kanálem než e-mailem?
- Je jasný postup, co dělat při podezření na kompromitovaný účet?
Je váš firemní e-mail chráněný před BEC útokem?
Krátký test ukáže, jestli je prostředí připravené na tiché útoky přes kompromitovanou schránku a podvržené požadavky.
Chcete na to navázat i prakticky?
Pokud řešíte podobné téma ve firmě právě teď, navazuje na něj obvykle i konkrétní služba, další článek nebo krátká konzultace nad tím, co dává smysl jako první krok.
- 1
Jak BEC útok probíhá krok za krokem
- 2
Příznaky kompromitovaného e-mailu
- 3
Která opatření fungují nejlépe
Pokud to chcete převést do konkrétního kroku, tady obvykle navazuje praxe.
Vybral jsem další texty, které rozšiřují stejné téma z trochu jiného úhlu.
Phishing e-mail: jak ho rozeznat a co dělat po kliknutí
Phishing dnes nevypadá jako amatérský spam. Podívejte se, jaké znaky bývají rozhodující a co dělat ve chvíli, kdy už někdo ve firmě kliknul.
- Jak vypadá moderní phishing
- Na co se dívat v podezřelém e-mailu
IT správa malé firmy: zaměstnanec, nebo externista?
IT správa malé firmy nemusí být složitá. Podívejte se, kdy dává smysl interní správce, kdy IT outsourcing a co si ověřit před výběrem partnera.
- Kdy dává smysl interní IT správce
- Kdy je výhodnější externí partner
Jak poznat dobrého IT správce
Jak poznat, že IT správce odvádí dobrou práci? Podívejte se na konkrétní signály, které fungují u interního správce i externího partnera.
- Co dobrý správce řeší proaktivně
- Rozdíl mezi interním a externím modelem
Nejste si jistí, jestli je firemní e-mail chráněný proti BEC?
Projdu s vámi MFA, forwardingy, přihlášení i provozní pravidla pro citlivé požadavky. Prakticky a bez zbytečné omáčky.