BEC-angreb: De fleste ofre bruger ikke multi-faktor-godkendelse – anvend det nu og vær sikker

Der har været en stor stigning i Business Email Compromise (BEC)-angreb – og de fleste ofre arbejder i organisationer, der ikke brugte multi-factor authentication (MFA) til at sikre deres konti.

BEC-angreb er en af ​​de mest lukrative former for cyberkriminalitet: ifølge FBI er det samlede tabte over 43 milliarder dollars og tæller, med angreb rapporteret i mindst 177 lande.

Disse angreb er relativt enkle for cyberkriminelle at udføre - alt, hvad de behøver, er adgang til en e-mail-konto og lidt tålmodighed, mens de forsøger at narre ofre til at foretage økonomiske overførsler under falsk tilstedeværelse. Dette involverer almindeligvis at sende beskeder til medarbejdere, angiveligt fra deres chef eller en kollega, der tyder på, at en betaling - ofte meget stor - skal foretages hurtigt for at sikre en vigtig forretningsaftale.

Mere avancerede BEC-angreb hacker sig ind på en virksomhedskonto og bruger en legitim e-mailadresse til at foretage betalingsanmodningen. 

Det har endda været kendt for svindlere at overvåge indbakker i lange perioder, idet de kun vælger at slå til, når en rigtig forretningstransaktion er ved at blive foretaget - på hvilket tidspunkt de skærer ind og dirigerer betalingen til deres egen konto.

SE: Den største trussel om cyberkriminalitet er også den, som ingen ønsker at tale om

Med penge, der skal tjenes på denne måde, vender cyberkriminelle sig i stigende grad mod BEC-kampagner, og virksomheder bliver ofre. Ifølge cybersikkerhedsanalytikere på Arktisk ulv, blev antallet af BEC-angreb, som de har reageret på, fordoblet mellem januar-marts og april-juni - og disse angreb tegnede sig for over en tredjedel af alle undersøgte hændelser.

Der var et fælles tema blandt mange af ofrene: ifølge hændelsesbesvarere havde 80 % af de organisationer, der blev ofre for BEC-angreb, ikke MFA på plads.

Multifaktorgodkendelse giver et ekstra lag af sikkerhed for e-mailkonti og cloud-applikationssuiter, hvilket kræver, at brugeren bekræfter, at det virkelig var dem, der loggede ind på kontoen, hvilket hjælper med at beskytte mod uautoriserede indtrængen - også selvom angriberen har det korrekte brugernavn og adgangskode.

Organisationer, der ignorerer MFA, lader sig åbne over for BEC-kampagner og andre cyberangreb - på trods af gentagne anbefalinger fra cybersikkerhedsbureauer om, at det bør anvendes. Så hvorfor bruger de det ikke?

"MFA kræver omhyggelig planlægning og koordinering for at implementere succesfuldt, hvilket sikrer, at organisationer kan fortsætte med at fungere uden afbrydelser. Fordi brugere har brug for træning i, hvordan man bruger MFA-systemet, kan dette være svært for nogle organisationer,” siger Adrian Korn, leder af trusselsintelligensforskning hos Arctic Wolf Labs, til ZDNET. 

"Derudover kan konfiguration og afprøvning af en ny MFA-implementering på tværs af en organisation lægge en stor byrde på allerede belastede it-afdelinger," tilføjede han. 

Også: Internettets skræmmende fremtid: Hvordan fremtidens teknologi vil udgøre endnu større cybersikkerhedstrusler

På trods af disse potentielle begrænsninger er anvendelse af MFA på alle brugerkonti en af ​​de vigtigste ting, organisationer kan gøre for at hjælpe med at beskytte deres medarbejdere og deres netværk mod cyberangreb – hvis de er konfigureret korrekt.

"Organisationer bør planlægge deres MFA-udrulninger i god tid for at tage højde for tekniske problemer, de kan støde på. Derudover bør organisationer tage sig tid til at sikre, at MFA-konfigurationer testes forud for bedste sendetid, og at brugerne er veluddannede i, hvordan man bruger den nye MFA-platform, der foretrækkes,” sagde Korn. 

Men selvom MFA hjælper med at forhindre cyberangreb, er det ikke ufejlbarligt, og beslutsomme cyberkriminelle finder måder at omgå det.  

Med BEC-angreb, der bruger social engineering til at narre folk til at tro, at de gør det rigtige, er det også vigtigt for organisationer at træne deres medarbejdere i at opdage, hvornår en anmodning - selvom den kommer fra en legitim konto - kan være mistænkelig. 

"Brugere bør trænes i at genkende mistænkelige økonomiske anmodninger. Hvis noget føles dårligt, bør brugerne lytte til det instinkt og spørge nærmere. Haste økonomiske anmodninger bør valideres gennem yderligere midler, før der afsluttes større transaktioner,” sagde Korn. 

MERE OM CYBERSIKKERHED