Στον τομέα της αντιμετώπισης περιστατικών στον κυβερνοχώρο, βλέπουμε όλο και περισσότερα περιστατικά όπου εγκληματίες καταφέρνουν να παρακάμψουν τα πρωτόκολλα ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA). Η ικανότητα να παρακαμφθεί το MFA είναι ιδιαίτερα ανησυχητική, καθώς αποτελεί ακρογωνιαίο λίθο της άμυνας που χρησιμοποιούν οι επιχειρήσεις για να προστατεύσουν ευαίσθητα δεδομένα και συστήματα.

Τι είναι ακόμη πιο ατυχές; Οι εργαζόμενοι είναι συχνά αυτοί μέσω των οποίων οι επιτιθέμενοι παρακάμπτουν αυτές τις άμυνες.

Πολύ συχνά, οι εργαζόμενοι άθελά τους βοηθούν τους κακόβουλους δράστες να παρακάμψουν τις άμυνες του MFA, καθώς εξελιγμένα phishing emails ξεγελούν υπερφορτωμένους υπαλλήλους ώστε να εγκρίνουν ψεύτικα αιτήματα ελέγχου ταυτότητας. Μόλις οι επιτιθέμενοι μπουν στο σύστημα, μπορούν να ξεκινήσουν δόλιες αιτήσεις μεταφοράς χρημάτων από γνήσιους εταιρικούς λογαριασμούς email.

Ως αποτέλεσμα, οι απώλειες από επιχειρησιακή απάτη μέσω εμβασμάτων έχουν εκτοξευθεί — και τα χρήματα αυτά συνήθως είναι αδύνατο να ανακτηθούν. Μέχρι να αντιληφθεί το θύμα το λάθος του, είναι συχνά πολύ αργά.

Η Απάτη μέσω Εμβασμάτων είναι το Νέο “Αγαπημένο” των Κυβερνοεγκληματιών

Αν και η κατάληψη επίσημων εταιρικών λογαριασμών email δεν είναι νέα τακτική, η πολυπλοκότητα του “business email compromise” (BEC) έχει φτάσει σε νέο επίπεδο. Ο τελικός στόχος αυτών των επιθέσεων είναι συχνά η απάτη μέσω εμβασμάτων, καθώς τα χρήματα είναι εξαιρετικά δύσκολο να ανακτηθούν μόλις μεταφερθούν.

Οι νομικοί σύμβουλοι απορρήτου που συμμετέχουν στο συμβουλευτικό όργανο αντιμετώπισης περιστατικών της TransUnion αναφέρουν ότι τα περισσότερα περιστατικά BEC που βλέπουν καθημερινά συνδέονται με απάτη μέσω εμβασμάτων. Νωρίτερα φέτος, το μέσο ποσό ενός δόλιου αιτήματος εμβάσματος ξεπερνούσε τα 24.000 δολάρια — μια αύξηση 46% σε σχέση με τον προηγούμενο μήνα.

Το σενάριο ξεκινά συνήθως με phishing emails, τα οποία πλέον είναι εξαιρετικά πειστικά χάρη στη βοήθεια της τεχνητής νοημοσύνης. Ο επιτιθέμενος συγκεντρώνει αρκετές πληροφορίες — μερικές φορές χρησιμοποιώντας παραβιασμένα προσωπικά δεδομένα διαθέσιμα στο dark web ή στοιχεία από δημόσιους λογαριασμούς κοινωνικών δικτύων — ώστε να μιμηθεί πειστικά ένα αξιόπιστο άτομο ή οργανισμό. Μιμούμενος το ύφος επικοινωνίας του προσώπου που υποδύεται, το μήνυμα συνήθως περιέχει έναν σύνδεσμο σε μια πλαστή σελίδα εισόδου που έχει σχεδιαστεί να μοιάζει πανομοιότυπη με το πραγματικό portal σύνδεσης του οργανισμού.

Καθώς ο εργαζόμενος συνδέεται, ο επιτιθέμενος αποσπά τα διαπιστευτήριά του και, αν είναι δυνατόν, το session token, τα οποία του επιτρέπουν να παρακάμψει τον έλεγχο ταυτότητας πολλαπλών παραγόντων.

Αφού εισχωρήσουν στο σύστημα email, μπορούν να μιμηθούν στελέχη που δίνουν εντολή για μεταφορά ή προμηθευτές που στέλνουν οδηγίες πληρωμής, οι οποίες φαίνονται νόμιμες αλλά κατευθύνουν τα χρήματα σε δόλιους λογαριασμούς.

Οι Υπερφορτωμένοι Εργαζόμενοι Κάνουν Λάθη

Για να πετύχουν αυτές οι επιθέσεις, οι εγκληματίες βασίζονται σε μεγάλο βαθμό στο ανθρώπινο λάθος. Το πρόβλημα δεν είναι η αμέλεια ή η έλλειψη κυβερνοασφαλιστικών μηχανισμών, αλλά η απλή υπερφόρτωση των εργαζομένων.

Οι εργαζόμενοι ήδη λαμβάνουν συνεχή ροή ειδοποιήσεων συστήματος και προτροπών ελέγχου ταυτότητας, οπότε δεν σκέφτονται πάντα διπλά αν αρχίσουν να λαμβάνουν διαδοχικές προτροπές επιβεβαίωσης. Οι χάκερ ελπίζουν ότι οι εργαζόμενοι θα υποκύψουν τελικά σε “MFA fatigue” και θα πατήσουν «Έγκριση» για να σταματήσουν οι ειδοποιήσεις — είτε από σύγχυση είτε από εξάντληση.

Σε εργασιακά περιβάλλοντα με γεμάτα inbox, ατελείωτες ειδοποιήσεις και ασφυκτικές προθεσμίες, η ψηφιακή υπερφόρτωση είναι κατανοητή. Μερικοί εργαζόμενοι μπορεί να αποσυντονιστούν τόσο πολύ ώστε κάθε φορά που λαμβάνουν προτροπή, να την εγκρίνουν μηχανικά. Αυτό είναι το ένα κλικ που χρειάζεται ο χάκερ.

Από την πλευρά του IT, η σύνδεση φαίνεται αυθεντική — καταχωρήθηκαν τα σωστά διαπιστευτήρια και ο χρήστης ενέκρινε την πρόσβαση.

Πρόκειται για μια τακτική χαμηλής προσπάθειας αλλά υψηλής απόδοσης, που παρακάμπτει τα τεχνικά μέτρα βασιζόμενη απλώς στην ανθρώπινη διάσπαση προσοχής. Ακόμα και εγκληματίες με περιορισμένες τεχνικές δεξιότητες μπορούν να υλοποιήσουν εξαιρετικά κερδοφόρες απάτες, αρκεί να στοχεύσουν τον κατάλληλο υπερφορτωμένο υπάλληλο.

Τι Μπορούν να Κάνουν οι Εταιρείες;

Επειδή τα περιστατικά απάτης μέσω εμβασμάτων είναι τόσο δύσκολο να αντιστραφούν, η ευαισθητοποίηση, η αναγνώριση και η πρόληψη είναι το κλειδί. Όταν οι οργανισμοί ακολουθούν αυτές τις πέντε πρακτικές, μπορούν να στηρίξουν καλύτερα τους εργαζόμενους και να μειώσουν τις πιθανότητες μόνιμης ζημιάς.

  1. Εφαρμογή (και συνέχιση απαίτησης) MFA.
    Αφού μόλις αναφέραμε μερικά από τα μειονεκτήματά του, αυτό μπορεί να φαίνεται αντιφατικό. Ωστόσο, ενώ το MFA δεν είναι τέλειο, παραμένει ισχυρός αποτρεπτικός μηχανισμός, ειδικά όταν συνδυάζεται με άλλα επίπεδα κυβερνοασφάλειας. Δεν θα σταματήσει κάθε εγκληματία, αλλά τα επιπλέον βήματα επαλήθευσης μπορούν να αποτρέψουν ή να καθυστερήσουν πολλές επιθέσεις.
  2. Τακτική εκπαίδευση εργαζομένων.
    Προσομοιώσεις phishing και συχνές υπενθυμίσεις για καλές πρακτικές MFA (όπως το να μην εγκρίνουν ποτέ μια σύνδεση που δεν ξεκίνησαν οι ίδιοι) είναι σημαντικές. Μπορεί να φαίνονται βασικά μέτρα σε ένα τοπίο εξελιγμένης τεχνολογίας κυβερνοασφάλειας, αλλά λειτουργούν. Και το καλύτερο, είναι φθηνά.
  3. Ενίσχυση των διαδικασιών πληρωμών.
    Ίσως ήρθε η ώρα να επανεξεταστούν τα εταιρικά πρωτόκολλα για εμβάσματα — δεν πρέπει ποτέ να εγκρίνονται αποκλειστικά μέσω email. Ορίστε επίσημες διαδικασίες και εγκριτές για να προστεθούν επιπλέον βήματα επαλήθευσης.
  4. Ανάπτυξη και δοκιμή σχεδίου αντίδρασης σε περιστατικά.
    Όταν συμβεί το χειρότερο, η αντίδραση της εταιρείας μπορεί να έχει τεράστιο αντίκτυπο στην ανάρρωση. Η γνώση του ποιον πρέπει να καλέσουν, πώς να διατηρήσουν αποδείξεις και πώς θα ενημερωθούν τα εμπλεκόμενα μέρη μπορεί να βοηθήσει στον περιορισμό της οικονομικής, λειτουργικής και φήμης ζημιάς που προκαλούν τα περιστατικά.
  5. Συνεργασία με ασφαλιστικούς και νομικούς εταίρους.
    Τα κυβερνοπεριστατικά και τα σχήματα απάτης μέσω εμβασμάτων μπορούν να δημιουργήσουν σημαντικές οικονομικές, κανονιστικές και νομικές εκθέσεις. Η συνεργασία με παρόχους cyber insurance και νομικούς ειδικούς από νωρίς μπορεί να βοηθήσει στη διαχείριση των επιπτώσεων και των σύνθετων νομικών συνεπειών.

Ενδυνάμωση με Γνώση, Όχι μόνο με Τεχνολογία

Καμία τεχνική άμυνα δεν είναι αλάνθαστη και, στο σημερινό ψηφιακό περιβάλλον εργασίας, οι κυβερνοεγκληματίες δεν χρειάζεται να “σπάσουν την πόρτα” αν μπορούν να πείσουν έναν εργαζόμενο να την ανοίξει.

Πολλοί εργαζόμενοι δεν συνειδητοποιούν τον κρίσιμο ρόλο που διαδραματίζουν στην κυβερνοασφάλεια του οργανισμού, οπότε μπορεί να χαλαρώσουν την προσοχή τους — και αυτό ακριβώς περιμένουν οι εγκληματίες. Ενδυναμώνοντας τους εργαζόμενους με γνώση και αυτοπεποίθηση, πέρα από τα ισχυρά εργαλεία κυβερνοασφάλειας, μειώνεται σημαντικά η πιθανότητα να κάνουν δαπανηρά λάθη.