מתקפה חדשה עושה שימוש בדוא"ל עסקי – Business Email Compromise (BEC). מתקפה זו מתרחקת ממיקוד במנהלים לטובת פגיעה בשרשראות אספקה. BEC עוקבת אחר כמה דפוסים שונים, אך בעיקר סובבת סביב גישה של האקרים אשר זייפו חשבון דוא"ל ברמת מנהלי הארגון. ההאקר שולח מייל דחוף! אחד או יותר לעובד זוטר בנושא העברת כספים מתוך העסק למקום אחר. חלק מההאקרים מבצעים בדיקה מוקדמת כדי שיוכלו להתמקד באנשי משאבי אנוש, פיננסים או חשבונות. ההאקר עשוי להתעקש שהכסף יועבר במהירות ושאף אחד אחר לא יהיה מעורב בהעברה. טכניקה זו קיימת כבר מספר שנים וכתוצאה מכך, מנסים ההאקרים להרחיב את אופן פעולת ההונאות הללו כדי לתת להם את הסיכוי הטוב ביותר לא להתגלות.
במתקפת הדוא"ל העסקי החדשה, במקום לרדוף ישירות אחרי חברה, חושפים ההאקרים רשת של ספקים ולקוחות ומשם מתחיל המיפוי שלהם כדי לגלות את החוליות החלשות בשרשרת האספקה ואז לרדוף אחריהן באמצעות הונאת הנדסה חברתית.
הקבוצה שבלב המתקפה הספציפית הזו מכונה Firebrick Ostrich וסומנה כאחראית על כ- 350 מתקפות בהן זויפו 151 ארגונים על פני כ- 200 כתובות URL שונות. מתקפות הקבוצע התמקדו בארה"ב, עם התמקדות מיוחדת בעסקים בארה"ב. לפי Abnormal Intelligence, שיא הפעילות של Firebrick Ostrich היה באוגוסט 2022 ורוב כתובות ה- URL ששימשו במתקפות השונות היו בנות פחות מיממה בעת השימוש בהן.
השלבים להצלחת מתקפת דוא"ל עסקי:
- מוקם ספק מזויף בעל דומיין המחקה את הדומיין הלגיטימי של הספק וכתובות דוא"ל מזויפות הקשורות לחברה המזוייפת.
- הספק המזויף (ההאקר) יוזם תקשורת עם הקורבן הפוטנציאלי. למשל, ההאקרים מבקשים לעדכן חשבון בנק ולאחר מכן טוענים שהם "איבדו את המעקב" אחר התשלומים שעדיין לא בוצעו. כך הם מקבלים תובנה לגבי תשלומים פוטנציאליים, או מידע רלוונטי אחר שיכול לשמש אותם נגד הקורבן.
- חלק מכתובות האימייל שנוצרו עשויות להיות קשורות לחלק מרשתות האימייל השונות כדי להוסיף שכבה של "הכל נראה סביר ואמיתי" לנמענים. האם ימשיכו ההאקרים עד הסוף כדי לגנוב כסף? הימור… עובדים רבים שמסתכלים על סוג זה של שרשרת דוא"ל לא יחשבו על כך.
במידה והונאת הדוא"ל מצליחה, נשלח דואר מעקב מהספק המזויף הכולל פרטי תשלום אליו יעביר הקורבן כספים. ב- Anormal Security מציינים שבמקרים מסוימים מצורפים מסמכי PDF למיילים המכילים את פרטי התשלום. ייתכן שהדבר נעשה כדי לנסות ולעקוף מסנני האימייל המחפשים תוכן חשוד (כגון פרטי תשלום בגוף המיילים). עם כל פרטי הזיוף, ממיילים מזויפים וכתובות URL מזויפות ועד הכללת שמות עובדים אמיתיים בחלק מהתקשורת למקרה שמישהו אולי יבדוק בגוגל או בלינקדאין, המתקפה הזו עלולה לגרום לבעיות גדולות לארגון.
בהתחשב בכך שקבוצת Firebrick Ostrich לא מכוונת למגזר תעשייתי אחד, היא עלולה להשפיע על כל עסק ואם היא תצליח, יקומו חקיינים. ההגנה הטובה ביותר מפני מתקפות מסוג זה היא להבטיח שצוות העובדים מודע לכך שהן קיימות וכיצד הן פועלות. הונאות רבות מסתמכות על בידוד של עובדים שאינם בעלי מודעות להונאות סייבר. לכן מומלץ גם לבסס תהליכים המבטיחים שיותר מעובד אחד מעורב בעסקאות משמעותיות.
