Co to jest kompromis w zakresie e-maili biznesowych (BEC) | Przegląd VPN

Często słyszymy, że e-mail umiera z powodu mediów społecznościowych, ale prawda jest taka, że ​​jego użycie stale rośnie. Badania przeprowadzone przez The Radicati Group pokazują, że wykorzystanie poczty e-mail wzrośnie do ogromnej liczby 319,6 miliardów wiadomości e-mail wysyłanych i otrzymywanych dziennie do 2021 r. To okropnie dużo wiadomości e-mail. Chociaż prawdą jest, że znaczna część tego to spam i niepożądane, poczta e-mail pozostaje bardzo wygodnym sposobem komunikowania się zarówno z personelem wewnętrznym, jak i zewnętrznymi współpracownikami i klientami.


Ponieważ e-mail jest tak przydatną częścią komunikacji biznesowej, zawsze będzie on dla cyberprzestępców najważniejszym sposobem na atakowanie osoby i organizacji. Zauważyliśmy to, gdy 76% firm doświadcza ataku phishingowego.

Jak zawsze cyberprzestępca jest przebiegłym przeciwnikiem i znajdzie wiele nowych i innowacyjnych sposobów na wywołanie zagrożenia cybernetycznego. Inną bardzo skuteczną metodą ataku opartą na poczcie e-mail jest metoda Business Email Compromise, w skrócie BEC. W tym artykule przyjrzę się, czym jest BEC i jak możemy spróbować chronić naszą firmę przed najbardziej złowieszczymi zagrożeniami.

Kompromis w zakresie e-maili biznesowych – kilka przykładów

Badania przeprowadzone przez FBI, koncentrujące się na trzech latach poprzedzających rok 2016, wykazały, że BEC był odpowiedzialny za straty biznesowe na całym świecie w wysokości 5,3 mld USD. Niektóre przykłady osób, które padły ofiarą oszustw BEC, obejmują:

Austriacka firma FACC Operations GMBH: Firma straciła 50 milionów euro w wyniku oszustwa BEC, gdy hakerzy podszywali się pod prezesa Waltera Stephana w wiadomościach e-mail. Fałszywe wiadomości e-mail z prośbą o wykonanie pilnych przelewów pieniężnych – oczywiście pieniądze trafiły prosto na konto bankowe hakera.

Kalifornijska firma Xoom Corporation: Podobny oszustwo do incydentu FACC Operations BEC; tym razem około 30,8 mln USD zostało przeniesionych na konto hakera. Spowodowało to spadek ceny akcji spółki o 17% po incydencie.

Toymaker, Mattel: Firma przekazała 3 miliony USD oszustom, którzy wykorzystali techniki BEC, aby oszukać organizację, aby uważała ją za legalną transakcję finansową.

Te przykłady pokazują wagę tego problemu. Oszustwo BEC może kosztować miliony firm. Wystarczający powód, aby dowiedzieć się więcej na ten temat.

Jak wygląda oszustwo BEC

Podobnie jak wiele najbardziej udanych metod wykorzystywanych przez cyberprzestępców, BEC opiera się na wspólnym temacie manipulowania ludzkimi zachowaniami i wykorzystywania technologii w tym procesie. Ogólny termin to „inżynieria społeczna”. Wykorzystuje naszą ludzką towarzyskość i normalną łączność z innymi ludźmi, aby wpłynąć na końcowy cel przestępcy. Oto kilka sposobów na oszustów BEC:

Personifikacja CEO

Shady CEO With MustacheOszustwo FACC Operations polegało na sfałszowaniu wiadomości e-mail prezesa. Można to zrobić, przechwytując rzeczywiste konto lub używając fałszywego adresu e-mail, aby nakłonić innych do myślenia, że ​​e-mail jest prawidłowy. Przejęcie polega na włamaniu się na rzeczywiste konto e-mail (poprzez kradzież danych logowania) i przejęciu go. Fałszowanie jest prostszą techniką, ale może być mniej skuteczne. Jednak sfałszowana wiadomość e-mail może być bardzo trudna do wykrycia. Zwłaszcza jeśli oszust obserwował, jak zachowuje się CEO i jakiego języka używa. Fałszywe adresy e-mail są bardzo podobne do prawdziwych adresów. Na przykład, jeśli się zmienią [email protected] do [email protected] tylko czujni ludzie zauważyliby inną domenę.

Zła faktura

Hakerzy wykorzystują techniki inwigilacji, aby uzyskać informacje na temat działania działu finansowego firmy. Cyberprzestępca będzie wykorzystywał e-maile typu „spear phishing”, aby atakować osoby w dziale, wykradając ich dane logowania do konta e-mail. Następnie zwracają uwagę na wzory faktur i ostatecznie wysyłają sfałszowaną fakturę do zapłaty lub dostosowują szczegóły płatności na legalnej fakturze.

Kompromis w sprawie e-maili biznesowych i nas

BEC jest jak staromodny zestaw. Oszustwo polega na manipulowaniu ludzkim zachowaniem. Przestępcy używają kombinacji psychologicznych sztuczek i know-how, aby zmusić cię do wykonania ich licytacji. Oto niektóre ważne elementy, które wykorzystują:

Inwigilacja

Hakerzy BEC często poświęcają czas na zrozumienie, w jaki sposób firma i osoby w niej pracują i komunikują się. Chcą, aby ich e-maile wyglądały jak najbardziej realnie i naśladowały podszywającego się pod pracownika. Z tego powodu używają podobnych sformułowań, aby ich ofiara uwierzyła im.

Zaufanie

Oszustwo opiera się na zaufanych relacjach. Często trickster korzysta ze znanych zaufanych relacji, takich jak CEO i Dyrektor Finansowy, aby zainicjować przekaz pieniężny. Jeśli ufamy osobie, która prosi nas o przekazanie pieniędzy, istnieje większe prawdopodobieństwo, że to zrobią. Zwłaszcza jeśli język i używane przez nich słowa są takie same jak zwykle.

Dobrzy pracownicy

Oszustwa BEC są często najskuteczniejsze, gdy wykorzystują poczucie pilności. Może to manipulować potrzebą pracownika do wykonania dobrej pracy. Fałszywe wiadomości e-mail będą zawierały elementy akcji, takie jak „Proszę o niezwłoczne przetworzenie tego transferu; jeśli nie przeniesiemy tych pieniędzy do 12 w południe, stracimy tę ważną umowę ”. Strach przed zrzuceniem winy, jeśli coś nie zostanie przekazane na czas, skłania pracownika do przestrzegania. Ta nagląca sytuacja powoduje również stres, przez co mniej prawdopodobne jest, że wyłapią jakieś wskazówki, że tak naprawdę to oszustwo.

Sposoby zapobiegania oszustwom BEC

Podobnie jak w przypadku wszystkich zagrożeń cyberbezpieczeństwa, istnieją sposoby na zmniejszenie ryzyka i zagranie w cyberprzestępcę we własnej grze. Dlatego wymieniliśmy kilka pomysłów, jak zachować ostrość, a tym samym chronić.

1. Być świadomym

Przede wszystkim upewnij się, że wszyscy w Twojej firmie, od zarządu po indywidualnych pracowników, wiedzą o tym, czym jest oszustwo BEC i jak może ono powstać. W szczególności uświadamiaj zagrożonym obszarom biznesowym, takim jak finanse. Wprowadź czeki i środki, takie jak nawiązanie połączenia telefonicznego, aby dwukrotnie sprawdzić duży przelew.

2. Użyj niezawodnego uwierzytelnienia e-mail

Chociaż większość oszustw BEC opiera się na inżynierii społecznej, istnieją pewne oszustwa włamywane na konta e-mail. Jeśli możesz, zastosuj uwierzytelnianie dwuskładnikowe (2FA), aby uzyskać dostęp do konta e-mail. Na przykład systemy e-mail, takie jak Gmail, oferują to za pomocą aplikacji mobilnej lub SMS-a. Pamiętaj, że w wiadomości SMS 2FA występują pewne znane problemy z bezpieczeństwem. W związku z tym kod aplikacji mobilnej może być bezpieczniejszy.

3. Kontroluj swoją domenę

Fałszywe adresy e-mail, które nam przestępcy, często mają podobne domeny w adresie e-mail. Upewnij się, że kupujesz wszystkie domeny podobne do Twojej domeny głównej. W rezultacie hakerzy nie będą mogli ich nadużywać.

4. Bądź higieniczny

Zawsze należy przestrzegać podstawowych środków higieny bezpieczeństwa, takich jak zapobieganie złośliwemu oprogramowaniu. Aby odświeżyć pamięć o tym, co to oznacza, możesz rzucić okiem na 8 kroków, aby zachować bezpieczeństwo w Internecie. Chociaż jest to skierowane do poszczególnych osób, ważne jest, aby wszyscy w Twojej firmie byli świadomi tych kroków.

Końcowe przemyślenia

To, co jest tak przerażające w kompromisach dotyczących poczty e-mail w biznesie, polega na tym, że haker staje się szpiegiem i wykorzystuje własne zachowanie wobec nas. BEC może być bardzo kosztownym przestępstwem, powodując poważne obciążenia finansowe dla przedsiębiorstw. Czasami nawet skutkuje zwolnieniem osób. Niektóre proste metody, takie jak świadomość bezpieczeństwa, mogą pomóc zminimalizować ryzyko, że Twoja firma zostanie dotknięta tym szkodliwym cyberprzestępczością.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map