BEC-aanvallen: de meeste slachtoffers gebruiken geen multi-factor authenticatie - pas het nu toe en blijf veilig

Het aantal aanvallen op Business Email Compromise (BEC) is enorm toegenomen - en de meeste slachtoffers werken bij organisaties die geen multi-factor authenticatie (MFA) gebruikten om hun accounts te beveiligen.

BEC-aanvallen zijn een van de meest lucratieve vormen van cybercriminaliteit: volgens de FBI is het totale verlies meer dan $ 43 miljard en dat telt nog steeds, met aanvallen gerapporteerd in ten minste 177 landen.

Deze aanvallen zijn relatief eenvoudig uit te voeren door cybercriminelen – het enige wat ze nodig hebben is toegang tot een e-mailaccount en wat geduld terwijl ze proberen de slachtoffers te misleiden om financiële overschrijvingen te doen onder valse aanwezigheid. Dit houdt meestal in dat er berichten naar werknemers worden gestuurd, zogenaamd van hun baas of een collega, waarin wordt gesuggereerd dat een betaling - vaak erg hoog - snel moet worden gedaan om een ​​belangrijke zakelijke deal te sluiten.

Meer geavanceerde BEC-aanvallen hacken een bedrijfsaccount en gebruiken een legitiem e-mailadres om het betalingsverzoek te doen. 

Het is zelfs bekend dat oplichters de inbox gedurende lange tijd in de gaten houden en er alleen voor kiezen om toe te slaan wanneer een echte zakelijke transactie op het punt staat te worden gedaan - op dat moment grijpen ze in en sturen ze de betaling naar hun eigen rekening.

ZIE: De grootste dreiging van cybercriminaliteit is ook degene waar niemand over wil praten

Nu er op deze manier geld kan worden verdiend, richten cybercriminelen zich steeds meer op BEC-campagnes en worden bedrijven het slachtoffer. Volgens cybersecurity-analisten van Arctische Wolf, verdubbelde het aantal BEC-aanvallen waarop ze reageerden tussen januari-maart en april-juni - en deze aanvallen waren goed voor meer dan een derde van alle onderzochte incidenten.

Er was een gemeenschappelijk thema bij veel van de slachtoffers: volgens de hulpverleners had 80% van de organisaties die het slachtoffer werden van BEC-aanvallen geen MFA.

Multi-factor authenticatie biedt een extra beveiligingslaag voor e-mailaccounts en cloudtoepassingssuites, waarbij de gebruiker moet verifiëren dat zij het echt waren die op het account hebben ingelogd, wat helpt om te beschermen tegen ongeautoriseerde indringers - zelfs als de aanvaller de juiste gebruikersnaam en wachtwoord.

Organisaties die MFA negeren, stellen zich open voor BEC-campagnes en andere cyberaanvallen – ondanks herhaalde aanbevelingen van cyberbeveiligingsbureaus dat het moet worden toegepast. Dus waarom gebruiken ze het niet?

“MFA vereist zorgvuldige planning en coördinatie om succesvol te implementeren, zodat organisaties zonder onderbreking kunnen blijven werken. Omdat gebruikers training nodig hebben in het gebruik van het MFA-systeem, kan dit voor sommige organisaties moeilijk zijn", vertelde Adrian Korn, manager van threat intelligence-onderzoek bij Arctic Wolf Labs, aan ZDNET. 

"Bovendien kan het configureren en testen van een nieuwe MFA-implementatie in een organisatie een zware last vormen voor de reeds gespannen IT-afdelingen", voegde hij eraan toe. 

Ook: De enge toekomst van internet: hoe de technologie van morgen nog grotere cyberbeveiligingsbedreigingen zal vormen

Ondanks deze mogelijke beperkingen, is het toepassen van MFA op alle gebruikersaccounts een van de belangrijkste dingen die organisaties kunnen doen om hun werknemers en hun netwerk te beschermen tegen cyberaanvallen - als ze correct zijn ingesteld.

“Organisaties moeten hun MFA-implementaties ruim van tevoren plannen om rekening te houden met technische problemen die ze kunnen tegenkomen. Bovendien moeten organisaties de tijd nemen om ervoor te zorgen dat MFA-configuraties vóór primetime worden getest en dat gebruikers goed zijn opgeleid in het gebruik van het nieuwe MFA-platform naar keuze”, aldus Korn. 

Maar hoewel MFA cyberaanvallen helpt voorkomen, is het niet onfeilbaar en vastberaden cybercriminelen vinden manieren om het te omzeilen.  

Met BEC-aanvallen die social engineering gebruiken om mensen te laten denken dat ze het juiste doen, is het ook belangrijk voor organisaties om hun werknemers te trainen om te detecteren wanneer een verzoek - zelfs als het afkomstig is van een legitiem account - verdacht kan zijn. 

“Gebruikers moeten worden getraind om verdachte financiële verzoeken te herkennen. Als iets niet goed voelt, moeten gebruikers op dat instinct letten en verder informeren. Dringende financiële verzoeken moeten via extra middelen worden gevalideerd voordat grote transacties worden afgerond”, aldus Korn. 

MEER OVER CYBERBEVEILIGING