Ataki BEC: większość ofiar nie korzysta z uwierzytelniania wieloskładnikowego – zastosuj je teraz i bądź bezpieczny

Nastąpił duży wzrost liczby ataków Business Email Compromise (BEC) – a większość ofiar pracuje w organizacjach, które nie stosowały uwierzytelniania wieloskładnikowego (MFA) do zabezpieczania swoich kont.

Ataki BEC są jedną z najbardziej lukratywnych form cyberprzestępczości: według FBI łączna łączna strata wynosi ponad 43 miliardy dolarów i wciąż rośnie, a ataki zgłoszono w co najmniej 177 krajach.

Ataki te są stosunkowo proste do przeprowadzenia przez cyberprzestępców – wystarczy im dostęp do konta e-mail i trochę cierpliwości, gdy próbują nakłonić ofiary do dokonania przelewów finansowych pod fałszywym adresem. Zwykle wiąże się to z wysyłaniem wiadomości do pracowników, rzekomo od ich szefa lub współpracownika, które sugerują, że płatność – często bardzo wysoka – musi zostać dokonana szybko, aby zabezpieczyć ważną transakcję biznesową.

Bardziej zaawansowane ataki BEC włamują się na konto firmowe i wykorzystują legalny adres e-mail do żądania płatności. 

Wiadomo nawet, że oszuści monitorują skrzynki odbiorcze przez długi czas, decydując się na strajk tylko wtedy, gdy ma nastąpić prawdziwa transakcja biznesowa — w tym momencie przerywają i kierują płatność na własne konto.

ZOBACZ: Największym zagrożeniem cyberprzestępczości jest też to, o którym nikt nie chce rozmawiać

Dzięki pieniądzom, które można zarobić w ten sposób, cyberprzestępcy coraz częściej zwracają się w stronę kampanii BEC, a firmy padają ofiarą. Według analityków ds. cyberbezpieczeństwa z Arktyczny Wilk, liczba ataków BEC, na które zareagowali, podwoiła się między styczniem-marcem a kwietniem-czerwcem – a ataki te stanowiły ponad jedną trzecią wszystkich zbadanych incydentów.

Wśród wielu ofiar istniał wspólny motyw: według respondentów, 80% organizacji, które padły ofiarą ataków BEC, nie posiadało MSZ.

Uwierzytelnianie wieloskładnikowe zapewnia dodatkową warstwę bezpieczeństwa dla kont e-mail i pakietów aplikacji w chmurze, wymagając od użytkownika weryfikacji, czy to naprawdę on zalogował się na konto, co pomaga chronić przed nieautoryzowanymi włamaniami — nawet jeśli atakujący ma poprawną nazwę użytkownika i hasło.

Organizacje, które ignorują MFA, narażają się na kampanie BEC i inne cyberataki – pomimo wielokrotnych zaleceń agencji cyberbezpieczeństwa, że ​​należy je zastosować. Dlaczego więc go nie używają?

„MFA wymaga starannego planowania i koordynacji, aby pomyślnie wdrożyć, zapewniając, że organizacje mogą kontynuować działalność bez zakłóceń. Ponieważ użytkownicy wymagają szkolenia w zakresie korzystania z systemu MFA, może to być trudne dla niektórych organizacji” – powiedział ZDNET Adrian Korn, kierownik badań nad analizą zagrożeń w Arctic Wolf Labs. 

„Ponadto konfigurowanie i testowanie nowego wdrożenia usługi MFA w całej organizacji może stanowić duże obciążenie dla i tak już napiętych działów IT” – dodał. 

Również: Przerażająca przyszłość internetu: jak technologia jutra będzie stwarzać jeszcze większe zagrożenia dla cyberbezpieczeństwa

Pomimo tych potencjalnych ograniczeń stosowanie usługi MFA do wszystkich kont użytkowników jest jedną z najważniejszych rzeczy, które organizacje mogą zrobić, aby chronić swoich pracowników i sieć przed cyberatakami — jeśli są one prawidłowo skonfigurowane.

„Organizacje powinny planować wdrożenia MFA z dużym wyprzedzeniem, aby uwzględnić problemy techniczne, jakie mogą napotkać. Ponadto organizacje powinny poświęcić trochę czasu, aby upewnić się, że konfiguracje usług MFA są testowane przed godziną największej oglądalności, a użytkownicy są dobrze przeszkoleni w zakresie korzystania z nowej wybranej platformy usługi MFA” — powiedział Korn. 

Ale chociaż MFA pomaga zapobiegać cyberatakom, nie jest nieomylny, a zdeterminowani cyberprzestępcy znajdują sposoby, aby go ominąć.  

W przypadku ataków BEC wykorzystujących socjotechnikę w celu nakłonienia ludzi do myślenia, że ​​postępują właściwie, ważne jest również, aby organizacje przeszkoliły swoich pracowników w zakresie wykrywania, kiedy żądanie — nawet jeśli pochodzi z legalnego konta — może być podejrzane. 

„Użytkownicy powinni być przeszkoleni w rozpoznawaniu podejrzanych wniosków finansowych. Jeśli coś jest nie tak, użytkownicy powinni posłuchać tego instynktu i dociekać dalej. Pilne wnioski finansowe powinny zostać zweryfikowane dodatkowymi środkami przed sfinalizowaniem głównych transakcji” – powiedział Korn. 

WIĘCEJ O CYBERBEZPIECZEŃSTWIE