[2/9]Các biện pháp phòng chống lừa đảo qua thư điện tử cho doanh nghiệp

09:18 | 01/09/2021

Theo một nghiên cứu gần đây của GreatHorn - công ty cung cấp giải pháp bảo mật thư điện tử trên đám mây của Mỹ, 71% các công ty thừa nhận rằng họ đã từng bị tấn công lừa đảo qua thư điện tử trong năm 2020. 43% số tổ chức đã từng gặp sự cố an toàn thông tin trong 12 tháng trước, trong số đó 35% cho rằng các cuộc tấn công lừa đảo qua thư điện tử chiếm tới hơn 50% số sự cố an toàn thông tin.

Theo thông tin từ Trung tâm báo cáo tội phạm Internet của FBI (IC3), các vụ lừa đảo qua thư điện tử là những vụ tấn công mạng gây thiệt hại lớn nhất trong năm 2020, với 19.369 nạn nhân khai báo và con số tổn thất sau khi điều chỉnh lên tới gần 1,8 tỷ USD. Các vụ lừa đảo qua thư điện tử gần đây bao gồm: Tấn công giả mạo thư khiến nữ doanh nhân Barbara Corcoran - người từng tham gia nhiều kỳ chương trình Shark Tank bị mất 380 nghìn USD; Vụ tấn công khiến chính quyền Puerto Rico mất 4 triệu USD; Vụ lừa công ty truyền thông khổng lồ Nikkei của Nhật Bản chuyển 29 triệu USD.

Để phòng chống các cuộc tấn công lừa đảo qua thư điện tử, các công ty cần chú trọng tới sự kết hợp giữa 3 yếu tố con người, quy trình và công nghệ.

Quy trình

Bộ phận tài chính trong mọi tổ chức đều có chính sách phân cấp phê duyệt chi tiêu. Chính sách này thiết lập các mức phê duyệt rõ ràng cho bất kỳ khoản chi tiêu/thanh toán nào để bảo vệ tài sản của công ty. Mặc dù, tất cả các khoản chi tiêu/thanh toán phải nằm trong ngân sách đã được phê duyệt. Chính sách này cung cấp một công cụ cho bộ phận tài chính để đảm bảo rằng mỗi khoản thanh toán được phê duyệt bởi đúng cá nhân hoặc một số cá nhân, tùy theo số tiền. Trong một số trường hợp, giám đốc điều hành hoặc chủ tịch của một công ty được cấp quyền vô hạn khi yêu cầu thanh toán. Tội phạm mạng nhận ra điều này, đó là lý do tại sao chúng giả mạo tài khoản email của các lãnh đạo cấp cao.

Trong bối cảnh an ninh mạng hiện nay, bộ phận tài chính nên đánh giá lại chính sách này để đưa ra các quy trình chặt chẽ hơn. Điều này có thể có nghĩa là yêu cầu phê duyệt nhiều ”tay” cho các khoản chi lớn được thanh toán qua séc, chuyển khoản ngân hàng hoặc bất kỳ kênh nào khác để đảm bảo yêu cầu thanh toán là hợp pháp. Quy trình đó cũng cần làm rõ cách phê duyệt bằng phương tiện điện tử.

Ví dụ, nếu ai đó trong bộ phận tài chính nhận được email từ Giám đốc điều hành yêu cầu chuyển khoản ngân hàng, quản trị viên xử lý yêu cầu bắt buộc phải tuân theo chính sách của công ty để có được phê duyệt bổ sung, bao gồm cả việc gửi email đến danh sách định nghĩa trước để nhận được phê duyệt điện tử cùng với xác nhận qua điện thoại. Số tiền chi tiêu quyết định ai có thể ký và đồng ký và sẽ dựa trên khẩu vị rủi ro của tổ chức.

Bộ phận công nghệ thông tin (CNTT) nên làm việc với bộ phận tài chính để giải thích cách lừa đảo qua thư điện tử và các cuộc tấn công giả mạo khác xảy ra. Cung cấp các ví dụ thực tế về các cuộc tấn công gần đây và suy nghĩ xem công ty sẽ làm gì khác để ngăn chặn cuộc tấn công. Dựa trên những ví dụ này, bộ phận tài chính nên đánh giá lại chính sách hiện tại có lưu ý đến vấn đề giả mạo an ninh mạng và lừa đảo qua thư điện tử. Điều này có thể có nghĩa là Chủ tịch Hội đồng quản trị, Giám đốc điều hành hoặc chủ tịch công ty không thể là người phê duyệt duy nhất cho các khoản chi tiêu lớn (việc xác định mức tiền nào là lớn phụ thuộc vào khẩu vị rủi ro của công ty).

Sau khi đã thiết lập quy trình phê duyệt các khoản chi tiêu, công ty phải đảm bảo rằng nhân viên của mình được đào tạo để tuân theo chính sách và không có ngoại lệ.

Con người

Tất cả nhân viên của công ty phải được đào tạo để biết cuộc tấn công an ninh mạng là như thế nào, phải làm gì, không nên làm gì và khóa đào tạo này phải được thực hiện liên tục vì bối cảnh an ninh mạng đang thay đổi rất nhanh. Nhân viên trong bộ phận tài chính - hoặc bất kỳ ai được ủy quyền giải ngân tiền dưới bất kỳ hình thức nào nên được đào tạo nhận biết tấn công lừa đảo thư điện tử doanh nghiệp (BEC) và các cuộc tấn công giả mạo khác.

Nhấn mạnh rằng nhiều cuộc tấn công trong số này diễn ra dưới dạng email từ các giám đốc điều hành cấp cao, chúng có xu hướng là các yêu cầu "khẩn cấp" và đôi khi yêu cầu được gửi vài phút trước khi hết giờ làm việc và yêu cầu thanh toán ngay lập tức. Các khóa đào tạo về an ninh cùng với yêu cầu tất cả nhân viên tuân theo chính sách phê duyệt chi tiêu, công ty sẽ có thể ngăn chặn các cuộc tấn công lừa đảo qua thư điện tử.

Nhiều công ty mua bảo hiểm để bù đắp những tổn thất do lừa đảo qua thư điện tử, nhưng không tổ chức nào có thể chắc chắn rằng công ty bảo hiểm sẽ chi trả. Ví dụ, công ty thương mại Virtu Financial Inc. đã mất 6,9 triệu USD trong một vụ lừa đảo qua thư điện tử, nhưng công ty bảo hiểm của họ Axis Insurance đã từ chối trả tiền và tuyên bố rằng "việc truy cập trái phép vào hệ thống máy tính của Virtu không phải là nguyên nhân trực tiếp gây ra tổn thất, mà tổn thất đã xảy ra bởi các hành vi can thiệp của nhân viên Virtu - những người đã thực hiện chuyển khoản ngân hàng vì họ tin rằng email giả mạo yêu cầu chuyển tiền là thật". Virtu Financial Inc. đã đệ đơn khiếu nại Bảo hiểm Axis vì bị cáo buộc vi phạm hợp đồng khi từ chối bồi thường cho cuộc tấn công mạng.

Công nghệ

Công nghệ an ninh mạng tiên tiến, thế hệ mới có thể giúp chặn bất kỳ mối đe dọa email nào, bao gồm spam, lừa đảo và các cuộc tấn công tiếp theo, các cuộc tấn công có chủ đích và tấn công bằng các lỗ hổng zero-day trước khi mối đe dọa tới người dùng cuối.

Các loại giải pháp này bao gồm:

  • Công cụ chống thư rác chặn các liên lạc độc hại với các bộ lọc chống thư rác và dựa trên danh tiếng.
  • Công cụ chống lừa đảo để phát hiện các URL độc hại và ngăn chặn bất kỳ loại tấn công lừa đảo nào trước khi nó đến tay người dùng cuối.
  • Công cụ chống giả mạo để ngăn chặn các cuộc tấn công không cần payload như giả mạo, sử dụng các tên miền trông giống nhau và đánh lừa bằng cách hiển thị tên miền độc hại.
  • Các công nghệ chống lẩn tránh phát hiện nội dung ẩn độc hại bằng cách giải nén đệ quy nội dung thành các đơn vị nhỏ hơn (tệp và URL), sau đó được nhiều công cụ kiểm tra động trong vài giây.
  • Học máy và xử lý ngôn ngữ tự nhiên để kiểm tra sự sai lệch so với quy chuẩn trong nội dung và ngữ cảnh, chẳng hạn như xác định phong cách viết bất thường, các từ khóa có thể biểu thị hoạt động độc hại, địa chỉ IP lạ, vị trí địa lý, thời gian,...
  • Phát hiện để ngăn chặn các mối đe dọa nâng cao và các cuộc tấn công zero-day.
  • Phân tích email đặc biệt cho người dùng cuối để xác định các email đáng ngờ trước khi người dùng thực hiện hành động bất cẩn.
  • Trợ giúp theo ngữ cảnh của người dùng cuối để gắn cờ email bằng các biểu ngữ có thể tùy chỉnh dựa trên các chính sách và quy tắc để cung cấp cho người dùng cuối thông tin bổ sung theo ngữ cảnh và nâng cao nhận thức về bảo mật của họ.

Giải pháp kỹ thuật cần có khả năng phát hiện và ngăn chặn các cuộc tấn công giả mạo và chiếm đoạt tài khoản, trong đó tội phạm mạng có quyền truy cập vào một tài khoản email hợp pháp và cố gắng tiến sâu hơn vào mạng.