Alla företag förlitar sig till viss del på e-post. E-postbaserade attacker mot företag är därför ett kraftfullt verktyg för cyberbrottslingar. De är också svåra att skydda sig mot eftersom de bara kräver att en person i ett företag interagerar med, och faller för, dem.
Nätfiske-e-post är det mest uppenbara. Under en nätfiskeattack ombeds en anställd att klicka på en länk och deras lösenord blir stulet när de gör det. Men företag måste också se upp för mer sofistikerade attacker.
Vendor Email Compromise (VEC) är en ny attack som är baserad på företagskompromiss med e-post. Så vad är det och hur fungerar det?
Vad är affärse-postkompromiss?
Kompromiss med e-post för företag (BEC)-attacker involverar vanligtvis efterbildning av anställda på hög nivå. Angriparen lär sig först tillräckligt mycket om ett företag för att veta vem som arbetar där. Detta är inte svårt att göra eftersom företag ofta delar mycket av denna information online.
Angriparen skapar en e-postadress som inkluderar namnet på VD: n och kontaktar en anställd som utger sig för att vara den personen. Den anställde kommer då att bli ombedd att göra en brådskande banköverföring. E-postmeddelandet kommer att innehålla både en rimlig anledning till att göra det och en känsla av brådska.
Attacken bygger på det faktum att anställda ofta gör överföringen av rädsla för att bli avskedad eller på annat sätt utsättas för återverkningar.
Vad är leverantörens e-postkompromiss?
VEC-attacker är en typ av BEC-attacker. Till skillnad från traditionella BEC-attacker riktar de sig specifikt mot leverantörer. Leverantörer arbetar vanligtvis med ett stort antal olika företag. Tanken är att om en angripare framgångsrikt kan utge sig för att vara en leverantör, kan de stjäla från alla dessa företag.
VEC-attacker kräver mer arbete och tar längre tid att implementera. Men beroende på storleken på säljaren kan vinsterna också bli betydligt högre.
Medan en anställd kanske ifrågasätter varför deras chef plötsligt vill att de ska göra en stor banköverföring, är det ofta helt normalt att en leverantör gör denna begäran i form av en faktura. En VEC-attack riktar sig också ofta mot flera företag medan en BEC-attack bara riktar sig mot en.
Hur fungerar VEC?
Det finns många varianter av kompromiss med e-post från leverantörer och hur mycket ansträngning som görs beror på leverantörens storlek och den potentiella lönen. De flesta VEC-attacker inkluderar dock följande faser.
Nätfiske mot säljaren
En framgångsrik VEC-attack börjar med att man försöker komma åt e-postkonton som är kopplade till en leverantör. Detta uppnås vanligtvis genom att skicka nätfiske-e-postmeddelanden till anställda i företaget. Om en anställd tillåter att deras inloggningsuppgifter stjäls kan angriparen komma åt sitt konto och påbörja attacken.
Lär dig om leverantören
När uppgifterna är stulna kan angriparen logga in på medarbetarens e-post och få information om företaget och dess kunder. Angriparen måste förstå hur ofta fakturor skickas ut, hur de ser ut och vem de skickas till.
Under denna fas vidarebefordrar angriparen vanligtvis alla e-postmeddelanden från det legitima kontot till sitt eget. Detta gör att de kan hålla koll på verksamheten utan att fortsätta komma åt kontot. Detta är nödvändigt eftersom informationen som krävs för att utföra attacken ofta tar många veckor att få, och de kan hålla sig under radarn.
Efter att tillräcklig information har samlats in om leverantören kan angriparen försöka utge sig för dem. Angriparen kan använda säljarens e-postadress som de redan har tillgång till. Eller de kan skapa en ny e-postadress som liknar säljarens.
De kommer då att kontakta kunder och begära att stora banköverföringar ska göras. Vid det här laget förstår bedragaren både hur legitima e-postmeddelanden visas och vilken typ av överföringsförfrågningar som är vettiga. Detta gör att de kan skapa e-postmeddelanden som är mycket realistiska.
Många företag kommer att betala fakturan automatiskt utan att begära verifiering.
Vad händer om du är ett offer för VEC?
E-postkompromiss från leverantörer påverkar två parter, nämligen företaget och deras kunder.
Även om säljaren kan skada sitt rykte, förlorar de inga pengar direkt till angriparna. Information stjäls från deras e-postkonton, men denna information används för att stjäla pengar från andra människor.
De primära offren för denna attack är kunderna. Beloppet de förlorar beror på hur mycket de vanligtvis betalar till säljaren och om angriparen kan få dem att skicka mer än det beloppet. Eftersom angriparna är anonyma är det vanligtvis omöjligt att få tillbaka betalningen.
Hur man skyddar sig mot VEC
Både leverantörer och deras kunder kan skydda sig mot VEC-attacker genom att öka personalutbildningen och ändra hur e-postmeddelanden nås.
Utbilda anställda att identifiera bedrägliga e-postmeddelanden
Den här typen av attacker blir betydligt svårare om de anställda som arbetar för både leverantören och deras kunder utbildas i att upptäcka bedrägliga e-postmeddelanden. Alla anställda bör förstå hotet orsakas av nätfiske.
Alla e-postmeddelanden som innehåller en faktura bör också granskas ytterligare innan någon betalning görs. De e-postmeddelanden som skickas till säljarens kunder är ofta realistiska och skickas ut vid vanlig tidpunkt. Men de kan fortfarande upptäckas eftersom antingen e-postadressen inte matchar eller att betalningen begärs till ett annat bankkonto.
Implementera tvåfaktorsautentisering
Tvåfaktorsautentisering (2FA) kan skydda mot nätfiske. När det väl har lagts till på ett konto hindrar det någon från att logga in om de inte har tillgång till 2FA-enheten.
Detta förhindrar att VEC-attacker inträffar eftersom även om en anställd ger angriparen sitt lösenord, kommer angriparen inte att kunna använda det.
E-postkompromiss från säljare är ett viktigt hot att förstå
E-postkompromiss från leverantörer är en ny typ av kompromiss med e-post för företag som alla leverantörer och deras kunder bör vara medvetna om. Det är särskilt problematiskt för företag som ofta betalar betydande summor pengar till sina leverantörer – men leverantörerna själva bör också vara medvetna om den potentiella skadan på deras rykte.
Liksom de flesta e-postbaserade attacker förlitar sig VEC på att företagsanställda inte vet hur man identifierar bedrägliga e-postmeddelanden. Det kan därför förebyggas med ökad träning. Enkel men effektiv.