Čo je to Business Email Compromise (BEC) VPNoverview

Často počúvame, že e-mail umiera kvôli sociálnym médiám, pravda je však taká, že jeho používanie neustále rastie. Výskum skupiny Radicati ukazuje, že používanie e-mailov sa do roku 2021 zvýši na obrovských 319,6 miliárd e-mailov odosielaných a prijímaných denne. To je strašne veľa e-mailov. Aj keď je pravda, že väčšina z nich je spam a nežiaduca, e-mail zostáva veľmi pohodlným spôsobom komunikácie s internými zamestnancami a externými obchodnými partnermi a zákazníkmi..


Keďže e-mail je takou užitočnou súčasťou obchodnej komunikácie, pre kybernetického zločince bude vždy cieľom číslo 1 zamerať sa na jednotlivca a organizáciu. Videli sme to v prípade 76% firiem, ktoré zažívajú phishingový útok.

Ako vždy, kybernetický zločin je mazaný protivník a nájde veľa nových a inovatívnych spôsobov, ako spôsobiť počítačovú hrozbu. Ďalšou veľmi úspešnou metódou útoku založeného na e-maile je metóda Business Email Compromise alebo BEC v skratke. V tomto článku sa pozriem na to, čo je BEC a ako môžeme vyskúšať a chrániť naše podnikanie pred týmto najviac zlovestným ohrozením..

Obchodné e-mailové kompromisy – niektoré príklady

Výskum, ktorý uskutočnila FBI a ktorý sa zameriaval na tri roky, ktoré viedli do roku 2016, zistil, že BEC v celosvetovom meradle zaostal za 5,3 miliardami USD. Medzi príklady tých, ktorí sa stali obeťami podvodov s BEC, patria:

Rakúska spoločnosť FACC Operations GMBH: Spoločnosť stratila 50 miliónov eur podvodom BEC, keď hackeri v e-mailoch vydávali za generálneho riaditeľa Waltera Stephana. Spamové e-maily požiadali o vykonanie naliehavých prevodov peňazí – peniaze sa samozrejme dostali priamo na bankový účet hackera.

Kalifornská spoločnosť Xoom Corporation: Podobný podvod ako incident BEC FACC Operations; tentoraz to znamená, že približne 30,8 milióna USD bolo prevedených na účet hackera. Po incidente to spôsobilo pokles ceny akcií spoločnosti o 17%.

Toymaker, Mattel: Spoločnosť odovzdala podvodníkom, ktorí používajú techniky BEC na podvádzanie organizácie, aby si mysleli, že ide o legitímnu finančnú transakciu, 3 milióny dolárov USD.

Tieto príklady ukazujú závažnosť tohto problému. Podvod BEC môže stáť spoločnosť milióny. Dostatok dôvodov na to sa dozvedieť viac.

Ako vyzerá podvod BEC

Rovnako ako mnoho z najúspešnejších metód používaných počítačovými zločincami, aj BEC je založená na spoločnej téme manipulácie s ľudským správaním a využívaním technológie v tomto procese. Všeobecný názov je „sociálne inžinierstvo“. Používa našu ľudskú spoločenskosť a normálne spojenie s ostatnými ľuďmi, aby ovplyvnil konečný cieľ zločince. Uvádzame niekoľko spôsobov, ako môžu podvodníci BEC pracovať:

Predstieranie identity generálneho riaditeľa

Shady CEO With MustachePodvod FACC Operations bol založený na spoofingu e-mailu generálneho riaditeľa. To sa dá dosiahnuť buď únosom skutočného účtu alebo použitím spoofovej e-mailovej adresy, ktorá podnieti ostatných, aby si mysleli, že e-mail je legitímny. Únos zahŕňa hackovanie do skutočného e-mailového účtu (odcudzením prihlasovacích údajov) a jeho prevzatie. Spoofing je jednoduchšia technika, ale môže byť menej úspešná. Zistenie spoofed e-mailu však môže byť veľmi ťažké. Najmä ak scammer sledoval, ako sa správa výkonný riaditeľ a druh jazyka, ktorý používajú. Spoof e-mailové adresy sú veľmi podobné skutočnej adrese. Napríklad, ak sa zmenia [email protected] na [email protected] iná oblasť by si všimli iba bdelí ľudia.

Chybná faktúra

Hackeri používajú techniky sledovania na vybudovanie spravodajstva o fungovaní finančného oddelenia spoločnosti. Počítačový zločin použije e-maily s cieľom neoprávneného získavania údajov (phishingu) na zacielenie na jednotlivca v oddelení a odcudzí prihlasovacie údaje k jeho e-mailovému účtu. Potom si dávajú pozor na vzory faktúr a nakoniec pošlú falošnú faktúru na platbu alebo upravia platobné podrobnosti na oprávnenej faktúre.

Obchodné e-mailové kompromisy a nás

BEC je ako staromódne nastavenie. Podvod je založený na manipulácii s ľudským správaním. Zločinci používajú kombináciu psychologických trikov a know-how, aby vás prinútili robiť ponuky. Nasledujú niektoré dôležité prvky, ktoré používajú:

dohľad

Hackeri spoločnosti BEC často trávia čas, aby pochopili, ako spoločnosť a jednotlivci v tejto spoločnosti pracujú a komunikujú. Chcú, aby ich e-maily vyzerali čo najreálnejšie a napodobňovali zamestnanca, ktorého sa predstierajú. Z tohto dôvodu používajú podobné formulácie, aby ich obeť uverila.

dôvera

Podvod je založený na dôveryhodných vzťahoch. Trickster často použije známe dôveryhodné vzťahy, ako napríklad vzťahy medzi generálnym riaditeľom a finančným riaditeľom, na uskutočnenie prevodu peňazí. Ak dôverujeme osobe, ktorá nás žiada o prevod peňazí, je väčšia pravdepodobnosť, že tak urobíme. Najmä ak jazyk a slová, ktoré používajú, sú rovnaké ako obvykle.

Dobrí zamestnanci

Podvody BEC sú často najúspešnejšie, keď používajú pocit naliehavosti. Môže to ovplyvniť potrebu zamestnanca urobiť dobrú prácu. Spoof e-maily budú obsahovať akčné položky, ako napríklad „Spracujte tento prevod bezodkladne; ak tieto peniaze nepresunieme do 12:00, prídeme o túto veľkú zľavu “. Strach z viny, ak sa niečo neprevedie včas, vedie zamestnanca k tomu, aby vyhovel. Naliehavosť tiež spôsobuje, že ľudia k stresu, takže je menej pravdepodobné, že vyzdvihnúť akékoľvek stopy, že je to vlastne podvod.

Spôsoby, ako zabrániť tomu, aby boli BEC podvodníci

Rovnako ako u všetkých hrozieb v oblasti kybernetickej bezpečnosti existujú spôsoby, ako znížiť svoje riziko a hrať kybernetického zločinca v ich vlastnej hre. Preto sme uviedli niekoľko nápadov, ako zostať ostrí a následne chránení.

1. Byť si vedomý

Najskôr sa uistite, že každý vo vašej spoločnosti, od predstavenstva až po jednotlivých zamestnancov, je informovaný o tom, čo je podvod BEC a ako sa môže stať. O hrozbe informujte najmä cieľové obchodné oblasti, napríklad financie. Zavolajte šeky a opatrenia, napríklad zavolajte na dvojnásobnú kontrolu veľkého prevodu.

2. Použite spoľahlivé e-mailové overenie

Hoci väčšina podvodov typu BEC je založená na sociálnom inžinierstve, existujú podvody, ktoré prenikajú do e-mailových účtov. Ak je to možné, na prístup k e-mailovému účtu použite dvojfaktorové overenie (2FA). Napríklad e-mailové systémy ako Gmail to ponúkajú pomocou mobilnej aplikácie alebo textovej správy SMS. Upozorňujeme, že textová správa SMS 2FA má niektoré známe bezpečnostné problémy. Kód mobilnej aplikácie môže byť teda bezpečnejší.

3. Ovládajte svoju doménu

Falošné e-mailové adresy, ktoré nás zločinci majú, majú v e-mailovej adrese často podobné domény. Nezabudnite si kúpiť všetky domény, ktoré sú podobné vašej hlavnej doméne. V dôsledku toho ich hackeri nebudú môcť zneužiť.

4. Buďte hygienickí

Vždy by sa mali dodržiavať základné bezpečnostné hygienické opatrenia, ako je prevencia škodlivého softvéru. Ak chcete obnoviť svoju spomienku na to, čo to znamená, môžete sa pozrieť na našich 8 krokov, aby ste boli online stále v bezpečí. Aj keď je to zamerané na jednotlivca, je dôležité, aby si všetci vo vašej spoločnosti boli vedomí týchto krokov.

Záverečné myšlienky

Čo je tak chladného na kompromise Business Email, je to, že sa hacker stal špiónom a používa naše vlastné správanie proti nám. BEC môže byť veľmi nákladným zločinom, ktorý podniky vystavuje vážnemu finančnému zaťaženiu. Výsledkom je niekedy prepustenie jednotlivcov. Niektoré jednoduché metódy, napríklad uvedomenie si bezpečnosti, môžu pomôcť minimalizovať pravdepodobnosť, že táto škodlivá počítačová kriminalita zasiahne vašu spoločnosť.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me