Hãng bảo mật Trend Micro đã đưa ra số liệu trên sau khi tiến hành khảo sát 1.100 nhà hoạch định chính sách an toàn thông tin của một số nước trên thế giới (Anh, Mỹ, Đức, Tây Ban Nha, Ý, Thụy Điển, Phần Lan, Pháp, Hà Lan, Ba Lan, Bỉ và Cộng hòa Séc). Trend Micro tiết lộ rằng, có tới 43% các tổ chức được khảo sát chịu ảnh hưởng từ tấn công BPC. Mặc dù kiểu tấn công này đã khá phổ biến, nhưng 50% các nhà quản lý vẫn chưa hiểu biết về tấn công BPC và những hậu quả mà tấn công này mạng lại.
Theo Trend Micro, BPC là một hình thức tấn công nhắm tới những quy trình hoặc các máy móc, thiết bị mà quy trình đó sử dụng. Từ đó, kẻ tấn công có thể thao túng, điều khiển đối tượng để sinh lợi nhuận. Những kẻ tấn công thâm nhập vào tổ chức và tìm kiếm các lỗ hổng, sự lỏng lẻo của hệ thống hoặc kẽ hở trong phương thức vận hành. Một khi đã xác định được điểm yếu, kẻ tấn công sẽ thay thế một phần quy trình mà tổ chức/ khách hàng không hề hay biết. Trong khi đó, nạn nhân vẫn tin tưởng rằng quy trình đang tiến hành như bình thường, nhưng thực tế đã bị mất tiền hoặc hàng hóa.
Sự cố của Ngân hàng Trung ương Bangladesh năm 2016 là một ví dụ điển hình của tấn công BPC. Trong sự cố này, những kẻ tấn công đã cài đặt nhiều loại mã độc vào hệ thống của ngân hàng và khai thác quy trình liên lạc giữa ngân hàng và Hiệp hội viễn thông tài chính liên ngân hàng toàn thế giới (Society for Worldwide Interbank Financial Telecommunication - SWIFT). Sau đó, kẻ tấn công đã gửi các yêu cầu từ Bangladesh đến Ngân hàng Dự trữ Liên bang New York yêu cầu chuyển tiền đến các tài khoản khắp châu Á. Số tiền được yêu cầu ước tính lên tới hàng triệu USD. Bằng việc nắm rõ quy trình nghiệp vụ ngân hàng, kẻ tấn công thực hiện các giao dịch trong những ngày cuối tuần và can thiệp vào hệ thống in ấn của ngân hàng để tránh bị phát hiện. Vụ tấn công chỉ bị phát giác khi ngân hàng phát hiện ra một lỗi chính tả. Tổng cộng 81 triệu USD đã bị thất thoát.
Sau Ngân hàng Trung ương Bangladesh, có thêm hai ngân hàng khác cũng báo cáo bị xâm hại qua các quy trình liên quan đến SWIFT. Như ngân hàng Banco del Austro (tại Ecuador) mất 12 triệu USD vào năm 2015 do bị lạm dụng yêu cầu chuyển tiền.
Tại Việt Nam, tấn công BPC cũng được ghi nhận đã xảy ra. Điển hình là vụ việc của Ngân hàng Tiên Phong (TPBank) xảy ra vào cuối năm 2015. Kẻ tấn công đã sử dụng dạng thức đặt lệnh giao dịch hơn 1 triệu euro (tương đương 1,13 triệu USD) thông qua một ứng dụng phần mềm của bên thứ ba do Ngân hàng Tiên Phong sử dụng để kết nối với hệ thống thanh toán quốc tế SWIFT. May mắn, lệnh giao dịch này đã bị chặn kịp thời.
Phân loại tấn công BPC
Dựa theo cách thức tấn công, có 3 loại tấn công BPC là: chuyển hướng, xen vào quy trình và thao túng tài chính.
Chuyển hướng
Các cuộc tấn công BPC dạng chuyển hướng được thực hiện bằng việc khai thác lỗ hổng an toàn trong hệ thống luồng tiền của tổ chức. Từ đó, kẻ tấn công có thể chuyển tiền đến các nguồn được cho là kênh hợp pháp (như gian lận bảng lương). Với khả năng truy cập hệ thống bảng lương, những kẻ tấn công hoặc nội gian có thể thêm nhân viên giả rồi chuyển hướng tiền. Một hình thức khác là chuyển tiền gian lận bằng cách nhúng mã nguồn độc hại hoặc mã độc trong hệ thống chuyển tiền của ngân hàng để chuyển tiền đến các tài khoản mà kẻ tấn công sở hữu.
Xen vào quy trình
Kiểu tấn công này khai thác quy trình nghiệp vụ chính của doanh nhằm đem lại nguồn lợi lớn cho kẻ tấn công. Ví dụ cho kiểu tấn công này đó là xen vào giữa các quy trình hợp lệ của doanh nghiệp để vận chuyển các mặt hàng trái phép hay phát tán các phần mềm độc hại.
Thao túng tài chính
Kiểu tấn công BPC này bao gồm tấn công làm ảnh hưởng đến kết quả tài chính và các quyết định kinh doanh quan trọng như mua bán công ty. Để thực hiện, kẻ tấn công có thể cài cắm các biến thể của mã độc vào quy trình hoặc hệ thống quan trọng của tổ chức, như việc một phần mềm hoặc hệ thống giao dịch bị lây nhiễm mã độc để thay đổi giá trị cổ phần. Từ đó, gian thương có thể thu được hàng ngàn, thậm chí hàng triệu USD từ sự biến động thị trường này.
Phương pháp phòng chống tấn công BPC
Phân tích luồng thông tin từ nhiều nguồn khác nhau để phát hiện sự bất thường: Các phân tích dữ liệu đối với các luồng thông tin từ nhiều nguồn và đánh giá khác nhau có thể được sử dụng làm cơ sở để so sánh sự tương đồng giữa các luồng thông tin, từ đó tìm ra điểm bất thường. Kiểm tra định kỳ các bản ghi và giao dịch, xác định các lỗ hổng và cải thiện tình trạng an toàn của môi trường doanh nghiệp.
Tìm kiếm các số liệu sai lệch dựa trên các quy trình và thực hiện kiểm tra nghiệp vụ: Các công nghệ bảo vệ an toàn như giám sát hành vi và chống xâm nhập có thể phát hiện những điểm bất tương đồng hoặc đánh dấu những hoạt động đáng ngờ trong hệ thống mạng. Bên cạnh đó, các tổ chức/ doanh nghiệp nên sử dụng nguồn dữ liệu tương tự từ các biện pháp, quy trình khác trong ngành hoặc từ các nguồn công khai có sẵn làm phương tiện bổ sung để đánh giá các kết quả và dự đoán.
Nâng cao an toàn quy trình doanh nghiệp thông qua hoạt động diễn tập: Việc thuê các đội ngũ red team (tấn công) bên ngoài để mô phỏng các kịch bản tấn công có thể xảy ra từ tất cả các điểm (các công nghệ và công cụ được sử dụng, các quy trình, đánh giá sẵn có,…) có thể kiểm tra khả năng sẵn sàng và phát hiện những vị trí thường bị bỏ qua hoặc lỗ hổng trong một tổ chức. Đội ngũ này nên bao gồm cả các kế toán viên điều tra có kinh nghiệm về việc rửa tiền.
Thường xuyên kiểm soát, đảm bảo chất lượng và thực hiện kiểm thử xâm nhập: Kiểm thử xâm nhập, đảm bảo và kiểm soát chất lượng mạng lưới của doanh nghiệp là các bước giúp tìm ra những điểm yếu quan trọng trong mạng, như các lỗ hổng có thể bị khai thác. Tuy nhiên, người kiểm thử xâm nhập nên nhận thức rằng những kẻ tấn công có thể có khả năng truy cập cao nhất và cần xác định các quy trình hiện tại có thể giảm thiểu thiệt hại trong trường hợp bị tấn công thực sự hay không. Kiểm thử cũng nên tập trung vào các logic nghiệp vụ để phát hiện những lỗ hổng, điểm yếu có thể bị khai thác trong quy trình doanh nghiệp hiện tại.
Giới hạn các hành động có thể kịch bản hóa: Kẻ tấn công có thể tìm ra những lỗ hổng trong logic nghiệp vụ và lạm dụng các hành động có thể kịch bản hóa trong hệ thống để thực hiện những hành vi độc hại cụ thể. Những mối đe dọa như vậy có thể được giải quyết bằng cách hạn chế thực hiện những quy trình không cần thiết.
Phân chia nhiệm vụ rõ ràng: Để ngăn chặn những mối đe dọa từ bên trong, việc phân chia nhiệm vụ cho những người khác nhau tại các bộ phận khác nhau là rất quan trọng. Ví dụ, người giải quyết vấn đề tài chính sẽ có nhiệm vụ khác với người trong bộ phận công nghệ thông tin. Tương tự, đội ngũ đảm nhận kiểm thử sản phẩm có nhiệm vụ khác với đội ngũ trong dây chuyền sản xuất để tránh đưa vào hệ thống các yếu tố độc hại.
Yêu cầu hai người từ các đội ngũ hoặc mạng khác nhau thực hiện các hành động quan trọng: Tấn công BPC lạm dụng các quy trình hợp lệ nên việc phòng chống là điều tương đối khó khăn. Mặc dù việc yêu cầu hai người từ các đội ngũ hoặc mạng khác nhau thực hiện các hành động quan trọng trong quy trình doanh nghiệp cũng không ngăn chặn hoàn toàn các cuộc tấn công. Tuy nhiên, điều này sẽ cản trở được kẻ tấn công trộm cắp tài chính thành công, bởi điểm yếu không tập trung vào duy nhất một nơi. Ví dụ, trong lĩnh vực ngân hàng, việc tách riêng nhiệm vụ thường được áp dụng để khi có tấn công xảy ra, kẻ tấn công phải xâm phạm được cả hai tài khoản đăng nhập cụ thể thì mới có thể tấn công được quy trình nghiệp vụ của ngân hàng.
Nâng cao nhận thức về bảo mật cho nhân viên: Cần thường xuyên thực hiện các khóa huấn luyện, bồi dưỡng an toàn, an ninh thông tin đối với lãnh đạo cấp cao (CEO, CFO…) cho tới nhân viên và đối tác bên thứ ba nhằm phát hiện và ứng phó với tấn công BPC. Một số kiến thức cơ sở mà người dùng cần nắm được như: chỉ cài đặt các ứng dụng tin cậy, chỉ cung cấp thông tin cho các trang hợp lệ... đều có thể giảm thiểu rủi ro tấn công BPC.