אם אתם מאשרים תשלום על סמך הודעת דוא״ל, אתם חייבים להניח שמישהו ינסה לנצל את זה. הונאת דוא״ל עסקי שנקראת BEC (Business Email Compromise) מצליחה כי היא לא צריכה נוזקה ולא צריכה הצפנה. היא צריכה אמון. בדו״ח IC3 של ה FBI אפשר לראות שוב ושוב שהפסדים מדווחים נובעים מהונאות שמתחילות בהתחזות וגניבת זהות.
למה BEC מסוכנת יותר מכופרה לעסק רגיל
כופרה עוצרת פעילות ולכן כולם רואים אותה. BEC עובדת שקט. תשלום אחד שמוסט לחשבון אחר יכול לפגוע בתזרים, במוניטין וביחסים עם ספקים, בלי שתראו קובץ מוצפן אחד. ובניגוד לכופרה, כאן אין לכם רגע ברור שבו הכול נופל. הכול ממשיך לעבוד, ורק הכסף נעלם.
איך ההונאה נראית בשטח
- איסוף מידע
התוקף מחפש מי מאשר תשלומים, אילו ספקים עובדים איתכם, ואיך אתם מדברים במייל. לפעמים זה מתחיל מפרטי התחברות דלופים. - דומיין מתחזה או השתלטות על תיבה
או שמזייפים כתובת שנראית כמעט זהה, או שנכנסים לחשבון אמיתי עם סיסמה שדלפה ואימות חלש. תוסיפו לזה התחזות בשם תצוגה וכתובת Reply To שונה, וקיבלתם פיתיון שקשה לזהות. - חטיפת שרשור
השלב הכי מסוכן הוא השתלטות על שיחה קיימת עם ספק. בהנחיות של Microsoft לתגובה לחשבון דוא״ל שנפרץ תראו למה כללי תיבה והודעות יוצאות הם סימן מוקדם. - שינוי פרטי תשלום
מייל קצר עם טון סמכותי, לחץ זמן ובקשה להעביר לחשבון חדש. לפעמים מצרפים חשבונית PDF שנראית מושלמת, ולפעמים רק מבקשים לעדכן הוראת קבע. - הסתרה
כללי העברה ומחיקה נועדו לוודא שלא תראו תשובות של הספק האמיתי. CISA מפרטת איך לאתר כללים חשודים.
הקשחת דוא״ל שמקטינה BEC בפועל
- SPF, DKIM ו DMARC עם יעד ברור
זה לא תרגיל תאורטי. מתחילים בניטור, מתקדמים להסגר, ומסיימים בדחייה. אם הדומיין שלכם לא מוגן, מישהו יתחזה אליו. CISA מסבירה איך לחזק דוא״ל בצורה פרקטית. - חסימת העברה חיצונית ושימוש לא מבוקר בכללים
חוסמים העברה אוטומטית החוצה כברירת מחדל, ומגדירים התרעה על יצירת כלל חדש או שינוי של Reply To. - הקשחת חשבונות הנהלה וכספים
אימות רב גורמי חובה, חיבור מותנה, וחסימת כניסות ישנות. דו״ח DBIR של Verizon ממשיך להראות שהאדם והזהות נשארים נקודת כניסה מרכזית. - סינון דוא״ל נגד התחזות ולא רק נגד ספאם
כאן נכנס שירות סינון הדוא״ל של 010, שמזהה דומיינים מטעים, התחזות למנהלים וקבצים מסוכנים, וגם מאפשר לעובדים לדווח על מייל חשוד ולהסיר אותו מתיבות אחרות בארגון.
תהליך תשלומים שמפיל תוקפים
אם אפשר להזיז כסף עם מייל, שום מוצר לא יציל אתכם לבד. המטרה היא להוציא את ההחלטה מהאינבוקס ולהחזיר אותה לאימות אמיתי.
- שינוי פרטי בנק של ספק מאומת בשיחה למספר שכבר קיים אצלכם, לא למספר שמופיע בהודעה.
- תשלום דחוף או חריג דורש אישור כפול של שני אנשים, רצוי משתי מחלקות שונות.
- בקשה לסודיות או עקיפת תהליך נחשבת אירוע אבטחה עד שיוכח אחרת.
- מתרגלים עובדים לזהות לחץ ותחבולות בהדרכות מודעות עובדים לסייבר.
צ׳ק ליסט של 30 דקות: מה לבדוק עכשיו
- רשימת תיבות בסיכון
מנכ״ל, כספים, רכש, הנהלת חשבונות ושירות לקוחות. אלו התיבות שתוקפים אוהבים. - כללי תיבה והעברות
עוברים על Forwarding, חוקים שמוחקים הודעות, וחוקים שמסיטים התכתבויות. לא מסתפקים בבדיקה ידנית. מחפשים גם ביומני פעילות. - הרשאות צד שלישי
בודקים אפליקציות שקיבלו הרשאות גישה לדוא״ל ולענן. תוקפים אוהבים התמדה שקטה דרך הרשאות כאלה. - DMARC במצב הנכון
אם אתם עדיין ב p=none לאורך חודשים, אתם רק אוספים נתונים. קבעו תאריך מעבר להסגר ואז לדחייה, עם חריגים מסודרים. - שיחת אימות אחת שמצילה כסף
בודקים שכל צוות כספים יודע בדיוק למי מתקשרים כדי לאמת שינוי בנק, גם כשיש לחץ זמן.
ניטור ומודיעין: לזהות סטייה לפני הכסף
- מודיעין סייבר שמתריע על חשיפות זהות ודלפים, כדי שתסגרו חורים לפני שימוש לרעה.
- SIEM SOC מנוהל שמחבר לוגים של דוא״ל וזהויות ומרים התרעה על כללי תיבה, התחברויות חריגות ושינויים בהרשאות.
- להעמקה על המסלול מהדלפה לפריצה, קראו את מ Credential Leak לפריצה מלאה וגם את מייל אחד וסיסמה דולפת.
חושדים שכבר הותקפתם?
- עוצרים תשלום ומפעילים בנק מיד
ב BEC הזמן הוא הכול. פעולה מהירה יכולה להכריע אם הכסף יוחזר. - נועלים חשבון ובודקים כללי תיבה
התחברויות, העברות, כללים והרשאות צד שלישי. כאן ההנחיות של Microsoft נותנות סדר. - ממפים נזק
לא חוזרים לשגרה לפני שמבינים במה נגעו. סקר סיכונים ממוקד עוזר להגדיר סדר עדיפויות ומה לסגור קודם.
השורה התחתונה
BEC היא מבחן בגרות של עסק: האם אתם סומכים על מייל או מאמתים אותו. מי שבונה הגנה משילוב של דוא״ל מוקשח, תהליך תשלומים חכם וניטור, מקטין סיכון דרמטית. רוצים לחשוב מערכתית יותר? התחילו גם במאמר כך בונים מעטפת הגנת סייבר שעובדת באמת, ואז עברו לעמוד הגנת הסייבר של 010 כדי לראות מה הכי נכון לארגון שלכם.
