Gần đây, một chuyên gia đã nhận được email có nội dung về một bản fax điện tử từ công ty đối tác. Chuyên gia đã nhận thấy được điều bất thường, bởi địa chỉ fax của công ty là riêng biệt và chỉ được sử dụng khi công ty hướng dẫn đối tác gửi thông tin qua fax. Sau khi trả lời đã có những email tự động phản hồi từ địa chỉ này để xác nhận thông tin trong bản fax là hợp pháp. Rõ ràng là kẻ tấn công đã kiểm soát được hoàn toàn máy chủ mail của doanh nghiệp này và thực hiện cài đặt các quy tắc để phản hồi chứng minh về tính hợp lệ của thư giả mạo. Vì email chỉ chứa các liên kết và không có bất kỳ nội dung độc hại trực tiếp nào, ngoài ra được gửi từ địa chỉ tin cậy nên nó đã vượt qua được hệ thống phòng thủ chống thư rác của doanh nghiệp để đến tay của các nhân viên.

Theo Trung tâm Khiếu nại Tội phạm Internet (Internet Crime Complaint Center - IC3), các kế hoạch thỏa hiệp email của doanh nghiệp gây thiệt hại hơn 1,7 tỷ USD trên toàn thế giới vào năm 2019. Bộ phận Không gian mạng (FBI) gần đây đã cảnh báo về BEC và kêu gọi các tổ chức xem xét các quy tắc làm việc qua email của họ và đưa ra 14 khuyến nghị sau:

1. Đảm bảo máy tính để bàn và ứng dụng email web cùng một phiên bản

Luôn cập nhật ứng dụng email trên máy tính để bàn, web sẽ tránh được các vấn đề về đồng bộ hóa và cập nhật. Việc thiếu đồng bộ hóa giữa máy tính để bàn và web có thể cho phép kẻ tấn công đặt các quy tắc không được hiển thị trong các máy tính để bàn.

2. Cảnh giác với những thay đổi địa chỉ tài khoản email vào phút cuối

Nếu đột nhiên nhận được email từ các đối tác liên quan đến vấn đề tài chính và địa chỉ email đã bị thay đổi, hãy gọi cho họ và yêu cầu xác minh địa chỉ email. Ngoài ra, việc thay đổi thông tin thanh toán vào phút cuối cũng là điều bất thường và cần xác minh qua việc liên hệ trực tiếp.

3. Kiểm tra địa chỉ email để biết những thay đổi nhỏ

Chỉ với những thay đổi nhỏ có thể làm cho các địa chỉ email lừa đảo nhìn có vẻ hợp pháp vì giống với tên của khách hàng thực tế. Chữ cái “l” là một trong những ký tự khó phân biệt nhất trong địa chỉ email. Chỉ bằng cách thay thế ký tự “l” với số “1”, kẻ tấn công đã có một địa chỉ hoàn hảo cho việc lừa đảo.

4. Cho phép xác thực đa yếu tố cho tất cả các tài khoản email

Xác thực đa yếu tố (Multi-Factor Authentication - MFA) đảm bảo rằng những kẻ tấn công phải có một thứ khác như điện thoại, khóa, thiết bị, fob, ứng dụng xác thực để truy cập email.

5. Không tự động chuyển tiếp email đến các địa chỉ bên ngoài

Trong nhiều vụ xâm nhập email, các quy tắc chuyển tiếp email có thể chỉ hiển thị trong webmail, mà không thể xem trong ứng dụng email trên máy tính. Điều này khiến rất nhiều nạn nhân không hề biết toàn bộ email của mình được gửi tự động đến một địa chỉ bên ngoài. Hãy xem lại thiết lập gửi thư tự động thường xuyên để đảm bảo rằng chúng đang hoạt động như mong đợi và không có gì bất thường.

6. Giám sát máy chủ Email Exchange để biết các thay đổi

Thường xuyên kiểm tra các thay đổi đối với cấu hình và quy tắc tùy chỉnh cho các tài khoản quan trọng. Tạo ra các cảnh báo đối với mỗi thay đổi để có thể kiểm soát được hệ thống. Ngoài ra, việc thay đổi cấu hình hay quy tắc cần được văn bản hóa để dễ dàng theo dõi.

7. Gắn cờ sự khác biệt trong địa chỉ email "Reply" và "From"

Tạo quy tắc để gắn cờ các liên lạc qua email trong đó địa chỉ email "Reply" khác với địa chỉ email "From". Thiết lập một cờ khác khi thông báo bên ngoài đến từ tên miền của công ty, cho thấy rằng kẻ tấn công đang cố lừa người dùng nghĩ rằng email đến từ bên trong miền, có thể thiết lập DKIM để từ chối thư không khớp với miền của máy chủ thư gốc.

8. Thêm biểu ngữ cho tin nhắn đến từ bên ngoài tổ chức

Cảnh báo người dùng về nguồn gốc của tin nhắn là một cấu hình bình thường mà nhiều công ty sử dụng. Ngay cả với cảnh báo nhiều người dùng vẫn truy cập vào các liên kết nên vẫn cần có các biện pháp giáo dục người dùng cuối về việc nhận dạng các email lừa đảo.

9. Xem xét việc sử dụng các giao thức email cũ

Xem xét sự cần thiết của các giao thức email kế thừa, chẳng hạn như POP, IMAP và SMTP mà những kẻ tấn công có thể sử dụng để vượt qua xác thực đa nhân tố. Các giao thức cũ này không hỗ trợ xác thực đa nhân tố nên yêu cầu cần có mật khẩu hoặc mật khẩu cho ứng dụng để xác thực.

10. Ghi nhật ký và giữ lại các thay đổi đối với đăng nhập và cài đặt hộp thư trong ít nhất 90 ngày

Việc cấu hình ghi nhật ký thường không được chú ý đến, vì vậy cần kiểm tra các cấu hình ghi nhật ký và thực hiện định kỳ sao lưu, lưu trữ nhật ký ở một hệ thống riêng biệt.

11. Bật các tính năng bảo mật chặn email độc hại

Các hệ thống email hiện tại thường hỗ trợ các tính năng bảo mật để ngăn chặn các email độc hại xâm nhập vào bên trong hòm thư của người dùng. Hãy tận dụng tối đa các tính năng bảo mật này.

12. Khuyến khích nhân viên phản đối các yêu cầu thanh toán đáng ngờ

Nhân viên nên yêu cầu làm rõ các yêu cầu thanh toán đáng ngờ từ cấp quản lý trước khi ủy quyền giao dịch. Giữ lại yêu cầu xác nhận việc thanh toán thông qua điện thoại là một chính sách tốt để ngăn ngừa việc lừa đảo sử dụng email đã bị thỏa hiệp.

13. Thiết lập cảnh báo cho hành vi đáng ngờ trong email

Nếu doanh nghiệp đang sử dụng Office 365 hoặc Microsoft 365, hãy thiết lập cảnh báo cho hành vi đáng ngờ trong email. Nếu như bản quyền của công ty chưa bao gồm tính năng này, hãy cân nhắc để nâng cấp bản quyền bởi nó hữu ích trong rất nhiều trường hợp.

14. Báo cáo gian lận cho cơ quan chức năng

Báo cáo ngay lập tức bất kỳ hành vi gian lận trực tuyến hoặc email doanh nghiệp bị thỏa hiệp cho các cơ quan chức năng để nhận được hướng dẫn và hỗ trợ xử lý, cũng như cảnh báo các doanh nghiệp khác để giảm thiểu tổn thất do tấn công gây ra.