Prevare zasnovane na kompromitaciji poslovnog e-maila, koje se u žargonu zovu “lov na kitove” ili velike zverke, tj.direktore, podrazumevaju slanje posebno sastavljenih poruka elektronske pošte od strane prevaranata koji se predstavljaju da su direktori ili drugi visoko rangirani službenici u organizacijama primalaca. Kod ovog tipa e-mail prevara iskorišćavaju se tehnike društvenog inženjeringa i od zaposlenih koji e-mail dobijaju na svoj službeni e-mail se traži neka hitna akcija, kao na primer da se izvrši hitna uplata, tj. prenos novčanih sredstava elektronskim putem, ili pak da se pošalju osetljivi podaci kao što su formulari za obračun plata i drugih prihoda zaposlenih koji se inače šalju poreskim organima i koriste za povraćaj poreza.
Kompromitacije poslovnih e-mailova možete prepoznati po tome što se:
-Imitira obraćanje nekog iz top menadžmenta vaše poslovne organizacije
-Slanje vrši sa e-mail domena koji su vrlo slični onim kod vaše organizacije
-Izrazito koriste nalozi s besplatnih e-mail servisa (Gmail, Yahoo, i dr.)
-E-mailovi prave bez linkova (URL), telefonskih brojeva ili priloga.
Američki FBI je potvrdio porast i kritičnost kompromitacije poslovnih e-mailova u svom nedavno publikovanom izveštaju, u kojem je naveo da ovaj tip prevare ubrzano raste godišnjom stopom od 1.300% (13 puta se uvećava) i da je odgovoran za više od 3 milijarde dolara prijavljenih gubitaka. Ova objava je takođe otkrila još jedan tip scenarija kompromitacije koji uključuje krađu poverljivih poslovnih podataka.
Pomenuta FBI-jeva objava skicirala je pet scenarija u kojima se radi o kompromitaciji poslovnog e-maila:
1. Organizacije koje rade sa stranim dobavljačima
2. Rukovodilac organizacije prima ili inicira zahtev za ino-transfer novčanih sredstava
3. Poslovni kontakti dobijaju prevarnu korespondenciju putem kompromitovanog e-maila
4. Imitiranje rukovodilaca i advokata
5. Krađa podataka
I dok se finansijske štete prouzrokovane scenarijima od 1 do 4 mogu izmeriti i pokriti od strane kompanije i njenog osiguravajućeg društva (u slučaju da imaju polisu sajber osiguranja), štetu prouzrokovanu novim scenarijom pod brojem 5 teško je sagledati, jer su u igri podaci o ličnosti, a koji mogu biti zloupotrebljeni, kao što je već viđeno u pokušajima prevara sa povraćajem poreza, ili pak dovesti do gubitaka intelektualnih prava. Stoga je od sve većeg značaja sagledati ovu oblast kompromitacije poslovnog e-maila kao ozbiljnu pretnju po vašu organizaciju.
Ključne karakteristike kompromitacije poslovnog e-maila
Još neke karakteristike e-mailova koje bi vam pomogle da uspešno otkrijete napade ove vrste su:
-Ključne reči u poljima “Od” i “Odgovori na” (From, Reply-to), u slučaju da je polje “odgovori na” sadržano u zaglavlju e-maila
(ceo, cto, cfo, coo, office, work, dir, director, executive, exec, chief, central, chairman, president, vp,vice, private, official, md, managing managed chief, accountant admin, workmail, gmo, personal,home, personal)
-Ključne reči u telu poruke
(Transfer, Request, response, Verification, Payment, Update, Wire, Initiate, Instructions, Bank detaill, international, finance department, urgent, remit, remittance, Attention, Attached, Outstanding, confidential, desk, office)
-Tema poruke ima od jedne do tri reči (46% imaju jednu reč, 31% su s dve reči, 19% je s tri reči)
-U telu poruke se najčešće koristi kombinacija tekstualnog i HTML koda (više od 60% slučajeva), samo TXT je u 23% slučajeva prevara, a samo HTML se koristi u oko 15% slučajeva.
-Poruke imaju između 1.500 i 8.000 bajtova
58% kompromitacija poslovnih e-mailova imaju dužinu od 1.500 i 8.000 bajtova
30% kompromitacija poslovnih e-mailova imaju veličine između 8.000 i 10.000 bajtova
Otežavajuća okolnost kod poruka ovog tipa je da imate na raspolaganju veoma ograničen set karakteristika koje možete proveriti (kao što su prilozi uz poruke, lnternet adrese, ili poznati domeni prevaranata) da biste otkrili da se zaista radi o slučajevima kompromitacije poslovnih e-mailova. Osim toga, iako gore navedene karakteristike mogu biti od pomoći, ovo je nešto što se mora pažljivo raditi, da ne bi bilo slučajeva pogrešnog detektovanja. Ako bi na primer jedna finansijska institucija po generičkom pravilu detektovala poruke sa besplatnih e-mail naloga koje pri tom sadrže neku od ključnih reči kao što su ‘transfer’ ili ‘izvanredna’, onda bi mogli da nenamerno blokiraju sasvim legitimne e-mailove zajedno sa kompromitovanim.
Ranije ove godine korporacija Symantec se bavila prevarantskim domenima, nalik pravim, legitimnim, koji se koriste za slanje kompromitovanih e-mailova, kako bi sakupila dodatne obaveštajne podatke pomoću kojih bi poboljšala otkrivanje napada ove vrste. Određena heuristička pravila generisana na osnovu Symantecovih istraživanja su se pokazala uspešnim u suzbijanju prevara, zaustavljajući više od 16,1 miliona e-mailova od početka ove godine. Symantec Email Security rešnje sadrži mnogo više tehnologija za detekciju koja zaustavljaju napade ili neželjene e-mailove kakvi su “pecanje”, spam i neželjeni e-mailovi. U Symantecu konstantno rade na tome da ostanu ispred napadača tako što poboljšavaju skupove pravila koje sprovodi Email Security rešenje, da bi otkrili kompromitacije poslovnih e-mailova za svoje korisnike i to bez kupovine dodatnih softverskih modula ili specijalnih verzija proizvoda.