BEC-attacker: De flesta offer använder inte multifaktorautentisering – använd den nu och var säker

Det har skett en stor ökning av Business Email Compromise (BEC)-attacker – och de flesta offren arbetar på organisationer som inte använde multi-factor authentication (MFA) för att säkra sina konton.

BEC-attacker är en av de mest lukrativa formerna av cyberbrottslighet: enligt FBI är den sammanlagda totala förlusten över 43 miljarder dollar och räknas, med attacker rapporterade i minst 177 länder.

Dessa attacker är relativt enkla för cyberbrottslingar att utföra – allt de behöver är tillgång till ett e-postkonto och lite tålamod när de försöker lura offren att göra ekonomiska överföringar under falsk närvaro. Detta innebär vanligtvis att skicka meddelanden till anställda, påstås från sin chef eller en kollega, som tyder på att en betalning – ofta mycket stor – måste göras snabbt för att säkra en viktig affärsaffär.

Mer avancerade BEC-attacker hackar sig in på ett företagskonto och använder en legitim e-postadress för att göra betalningsbegäran. 

Det har till och med varit känt för bedragare att övervaka inkorgar under långa perioder, och bara väljer att slå till när en riktig affärstransaktion är på väg att göras - då de klipper in och styr betalningen till sitt eget konto.

SE: Det största hotet om cyberbrott är också det som ingen vill prata om

Med pengar att tjäna på detta sätt vänder sig cyberbrottslingar alltmer till BEC-kampanjer och företag faller offer. Enligt cybersäkerhetsanalytiker på polarvarg, antalet BEC-attacker som de har svarat på fördubblades mellan januari-mars och april-juni – och dessa attacker stod för över en tredjedel av alla undersökta incidenter.

Det fanns ett gemensamt tema bland många av offren: enligt räddningstjänsten hade 80 % av de organisationer som föll offer för BEC-attacker inte MFA på plats.

Multifaktorautentisering ger ett extra lager av säkerhet för e-postkonton och molnprogramsviter, vilket kräver att användaren verifierar att det verkligen var dem som loggat in på kontot, vilket hjälper till att skydda mot obehöriga intrång – även om angriparen har rätt användarnamn och Lösenord.

Organisationer som ignorerar MFA lämnar sig själva öppna för BEC-kampanjer och andra cyberattacker – trots upprepade rekommendationer från cybersäkerhetsbyråer att det bör tillämpas. Så varför använder de det inte?

"MFA kräver noggrann planering och samordning för att genomföra framgångsrikt, för att säkerställa att organisationer kan fortsätta att fungera utan störningar. Eftersom användare behöver utbildning i hur man använder MFA-systemet kan detta vara svårt för vissa organisationer, säger Adrian Korn, chef för hotintelligensforskning vid Arctic Wolf Labs, till ZDNET. 

"Dessutom kan konfigurering och testning av en ny MFA-distribution i en organisation lägga en tung börda på redan ansträngda IT-avdelningar," tillade han. 

Dessutom: Internets skrämmande framtid: Hur morgondagens teknik kommer att utgöra ännu större cybersäkerhetshot

Trots dessa potentiella begränsningar är att tillämpa MFA på alla användarkonton en av de viktigaste sakerna organisationer kan göra för att skydda sina anställda och deras nätverk från cyberattacker – om de är korrekt inställda.

"Organisationer bör planera sina MFA-utbyggnader i god tid för att ta hänsyn till tekniska problem som de kan stöta på. Dessutom bör organisationer ta tid att se till att MFA-konfigurationer testas före bästa sändningstid och att användarna är välutbildade i hur man använder den nya MFA-plattformen, säger Korn. 

Men även om MFA hjälper till att förhindra cyberattacker, är det inte ofelbart och beslutsamma cyberbrottslingar hittar sätt att kringgå det.  

Med BEC-attacker som använder social ingenjörskonst för att lura människor att tro att de gör rätt, är det också viktigt för organisationer att träna sina anställda att upptäcka när en förfrågan – även om den kommer från ett legitimt konto – kan vara misstänkt. 

"Användare bör utbildas i att känna igen misstänkta ekonomiska förfrågningar. Om något känns fel bör användarna lyssna på den instinkten och fråga vidare. Brådskande ekonomiska förfrågningar bör valideras på ytterligare sätt innan större transaktioner slutförs, säger Korn. 

MER OM CYBERSÄKERHET