Många företag lägger mycket kraft på att skydda sig mot gisslanattacker, attacker som ofta får de största rubrikerna. Men angriparna håller sig mer till en av de äldsta och mest effektiva hackarteknikerna – e-postintrång, eller business email compromise, BEC, som de kallas på engelska.
Företagens säkerhetsarbete har på senare år riktats mot gisslanattacker, men data från den amerikanska federala polisen FBI visar att företag sammanlagt förlorar 51 gånger mer pengar på falska mejl. Under 2021 orsakade e-postintrång förluster på 2,4 miljarder dollar, en uppgång på 39 procent från året innan.
Som jämförelse förlorade företagen under samma period bara 49 miljoner dollar på grund av gisslanattacker. Skillnaden är att varje förlust till följd av e-postintrång är mycket mindre än de belopp gisslanattacker kräver i lösensumma, men falska mejl är desto fler till följd av att de är tekniskt enklare för aktörerna att utföra.
E-postintrång handlar om att kriminella får tillgång till mejlkonton tillhörande i övrigt betrodda anställda, säger Paul Ducklin, senior forskare på Sophos.
– Problemet här, till skillnad från nätfiskeattacker, är uppenbar: de falska meddelanden som hittats på av skurkarna kommer faktiskt från den anställdes riktiga e-postkonto.
– Än värre är att skurkarna kan läsa den personens meddelanden innan hen kan det, så om du skickar ett meddelande för att ifrågasätta en konstig förfrågan eller till och med fråga om hen har tappat kontrollen över kontot, så kan skurkarna helt enkelt radera meddelandet och svara på ett förtroendegivande sätt. Resultatet är att den verkliga mottagaren aldrig ser varningssignalerna, och du får aldrig reda på sanningen, säger Paul Ducklin.
FBI:s Internet Crime Center tog under 2021 emot 19 954 anmälningar om falska mejl. De vidtog åtgärder i 1726 fall involverande inrikes transaktioner med potentiella förluster på 443 miljoner dollar. FBI kunde stoppa transaktioner för totalt 329 miljoner dollar, typiskt genom att identifiera och frysa bankkonton som tillhörde hackarna.
Gisslanattacker fortsätter att överskugga e-postintrång
Om nu falska mejl är så vanliga kan man fråga sig varför vi inte hör talas om dem oftare. En anledning är att företagen sällan anmäler dessa attacker.
– Vi kommer även fortsättningsvis att se orapporterade attacker i utvecklade länder. Om du anmäler en attack kan det orsaka en katastrof för företaget, säger Garrett O’Hara, teknisk chef på Mimecast.
– I många länder där anmälan är obligatorisk finns undantag för små och medelstora företag. Och även i de fall där anmälan är obligatorisk betalar företagen hellre böter än anmäler dessa incidenter, fortsätter Garret O’Hara.
Beloppen som förknippas med gisslanattacker är också högre och ger ofta mer uppmärksamhet. Den genomsnittliga lösensumman som avkrävdes de drabbade låg 2021 på 2,2 miljoner dollar, enligt Palo Alto Networks, medan FBI rapporterar att den genomsnittliga kostnaden för e-postintrång låg under samma år på 120 000 dollar.
– E-postintrång är pinsamma och kan kosta lite pengar, men en gisslanattack är en existentiell kris. De flesta företag ser därför falska mejl som vanlig stöld. En väl utförd gisslanattack får ett företag att stanna helt. Servrar kan låsas ner, patienter kan nekas livsviktig vård, alla kritiska system kan bli låsta, säger Garret O’Hara.
E-postintrång kan vara extremt enkelt att utföra
För att genomföra en attack tar hackarna över ett e-postkonto tillhörande en högt uppsatt medarbetare genom social manipulation, och ber sedan ekonomiavdelningen att göra en betalning till en viss leverantör. I detta fall kan leverantören vara en legitim motpart och fakturan kan se ut som tidigare fakturor från samma leverantör. Men hackarna har bytt ut betalningsinformationen och ekonomiavdelningen ifrågasätter inte fakturan eftersom meddelandet om att betala kommer från en högt uppsatt chef.
Angriparen behöver därför inte ens exploatera en sårbarhet, behöver inte skriva någon kod (i de flesta fall) och kan ofta genomföra bedrägeriet utan större it-kunskaper.
För att genomföra en gisslanattack, å andra sidan, behöver angriparen hitta sårbarheter i offrets datorer eller servrar, behöver få åtkomst till datorer eller servrar, kryptera alla filer och begära en lösensumma – en relativt komplex process.
Att det är så enkelt att genomföra attacker med falsk e-post är den enskilt största utmaningen för att begränsa dem. En typisk måltavla är ett företag som utför många finansiella transaktioner – helt enkelt något företag som överför pengar regelbundet. Detta skapar en mylla av möjligheter för angripare.
Med uppkomsten av distansmöten på senare år attackerar bedragarna även plattformar för virtuella möten för att hacka e-post och komma åt inloggningsuppgifterna för ledande personer inom företagen, för att i sin tur initiera bedrägliga överföringar av pengar. Dessa pengar förs sedan omedelbart över till digitala plånböcker för kryptovaluta eller till bankkonton tillhörande så kallade mulor för att snabbt spridas ut; allt för att försvåra återbetalningar.
– E-postintrång fokuserar på massattacker, till skillnad från gisslanattacker som i hög grad är riktade och kräver en hel del arbete. För attacker med falsk e-post ser vi att hackarna riktar in sig på många små och medelstora företag, vilka utgör 80–90 procent av alla företag, säger Ian Lim, CSO i Asien för Palo Alto Networks.
– Det blir många måltavlor. Å andra sidan riktas gisslanattacker typiskt mot multinationella företag och deras tredje parter. Angripare använder även verktyg för falsk e-post för att utföra vissa av dessa bedrägerier, fortsätter Ian Lim.
Palo Altos Unit 42-division har följt e-postintrång under flera år och har nyligen till och med arbetat tillsammans med Interpol i en motattack som ledde fram till gripandet av 11 medborgare från Nigeria, varav många deltagit i e-postattacker sedan 2015. Utredningen fann att även de inblandades profiler utvecklats över tid. Många av de gripna var it-utbildade som såg falska e-postintrång som en enkel och lukrativ karriärväg.
Företag behöver AI-verktyg för att motarbeta e-postintrång
Hackare använder nu avancerade tekniker för att utföra attacker med falsk e-post, inklusive så kallade kusin-domäner – en webbsida med ett snarlikt namn eller en annan webbsida – eller ”identitetshärmning” där man använder snarlika webbsidor. Sådana domäner kan bedra användare genom att fråga om personlig information.
– Du behöver AI-verktyg för att identifiera dessa tekniker genom digitala spår. AI-verktyg kan också spåra det språk som används i e-postmeddelanden för att flagga för onormalt beteende, säger Garret O’Hara på Mimecast.
Men den största utmaningen företag ställs inför när de försöker att motverka dessa attacker är att de e-postkonton som används oftast är legitima konton som hör till seniora medarbetare, inklusive vd:ar och ekonomichefer. Men enligt många experter bär enkla kontroller långt i kampen mot e-postintrång.
– Om du märker något ovanligt, om något är oväntat, kolla och bekräfta innan du gör några betalningar. Lyft luren och säkerställ förfrågningen innan du gör några finansiella transaktioner. Du måste vara hälsosamt misstänksam, säger Ian Lim på Palo Alto Networks.
Enligt Garret O’Hara kan säkerhet som byggs in i affärsprocesserna vara till hjälp för organisationer för att motarbeta denna typ av attacker.
– Processen att byta betalningsinformationen för en leverantör, till exempel, behöver följa säkerhetspolicys. Detsamma för alla nya leverantörer.
Paul Ducklin på Sophos pekar på att människor är det bästa försvaret mot e-postintrång.
– Kom ihåg: Om du är osäker, ge inte ut det, och säg till om du ser något. Om du arbetar inom säkerhet och du inte har en enkel, standardiserad metod för anställda att rapportera saker som inte stämmer – till exempel en e-postadress där säkerhetsfolk svarar direkt – skapa en på en gång. Om du misstänker att någons e-postkonto blivit hackat, påminn dina anställda att inte använda samma konto för att rapportera misstanken, oavsett om det är ett e-postkonto, ett Facebook-konto eller ett telefonnummer.