Hvad er forretningsmail-kompromis (BEC) | VPNoverview

Vi hører ofte, at e-mail er ved at dø på grund af sociale medier, men sandheden er, at dens brug fortsætter med at vokse. Forskning fra Radicati Group viser, at e-mail-brug vil stige til en enorm 319,6 milliarder e-mails, der er sendt og modtaget, pr. Dag, inden 2021. Det er en frygtelig masse e-mails. Selvom det er sandt, at meget af dette er spam og uønsket, er e-mail stadig en meget bekvem måde at kommunikere med både interne medarbejdere og eksterne forretningsforbindelser og kunder.


Da e-mail er en så nyttig del af forretningskommunikation, vil det altid være den førende måde for en cyberkriminel at målrette mod en person og en organisation. Det har vi set ud med, at 76 procent af virksomhederne oplever et phishing-angreb.

Som altid er cyberkriminelle en listig modstander og vil finde mange nye og innovative måder at forårsage en cybertrussel. En anden meget succesrig e-mail-baseret angrebsmetode er Business Email Compromise eller BEC for kort. I denne artikel skal jeg se på, hvad BEC er, og hvordan vi kan prøve at beskytte vores forretning mod denne mest uhyggelige trusler.

Forretnings-e-mail-kompromis – nogle eksempler

Forskning udført af FBI med fokus på de tre år frem til2016 viste, at BEC stod bag 5,3 milliarder USD i forretningstab over hele verden. Nogle eksempler på dem, der blev offer for BEC-svindel inkluderer:

Østrigsk virksomhed FACC Operations GMBH: Virksomheden mistede 50 millioner euro gennem en BEC-fidus, da hackere udskrev CEO CEO, Walter Stephan, i e-mails. Forfalskningsmailene, der blev bedt om at have foretaget hastende pengeoverførsler – selvfølgelig gik pengene direkte ind på hackerens bankkonto.

Californiens firma Xoom Corporation: En lignende fidus som FACC Operations BEC-hændelsen; denne gang involverer ca. $ 30,8 millioner USD til en hacker-konto. Det fik selskabets aktiekurs til at falde med 17% efter hændelsen.

Toymaker, Mattel: Virksomheden overleverede $ 3 millioner USD til svindlere, der brugte BEC-teknikker til at narre organisationen til at tro, at det var en legitim økonomisk transaktion.

Dette eksempel viser alvoret i dette problem. En BEC-fidus kan koste et firma millioner. Nok grund til at finde ud af mere om det.

Sådan ser en BEC-fidus ud

Som mange af de mest succesrige metoder, der anvendes af cyberkriminelle, er BEC baseret på det fælles tema for manipulering af menneskelig adfærd og anvendelse af teknologi i processen. Det generelle udtryk for dette er ”social engineering”. Den bruger vores menneskelige hygge og normale forbindelse med andre mennesker til at påvirke kriminlets slutmål. Her er et par måder, hvorpå BEC-svindlere går på arbejde:

CEO efterligning

Shady CEO With MustascheFACC Operations-fidus var baseret på forfalskning af CEO’s e-mail. Dette kan ske enten ved at kapre en faktisk konto eller bruge en falsk e-mail-adresse til at narre andre til at tro, at e-mailen er legitim. Kapring involverer hacking til en faktisk e-mail-konto (ved at stjæle loginoplysninger) og overtage den. Spoofing er en enklere teknik, men kan være mindre vellykket. Imidlertid kan en forfalsket e-mail være meget vanskelig at opdage. Især hvis svindleren har set, hvordan administrerende direktør opfører sig, og hvilken type sprog de bruger. Forfalskede e-mail-adresser ligner meget den rigtige adresse. For eksempel, hvis de ændrer sig [email protected] til [email protected] kun årvågne mennesker ville få øje på det forskellige domæne.

Dårlig faktura

Hackere bruger overvågningsteknikker til at opbygge intelligens om, hvordan en virksomheds finansafdeling fungerer. Cyberkriminelle vil bruge spyd phishing-e-mails til at målrette mod en person i afdelingen og stjæle deres e-mail-konto login-legitimationsoplysninger. Derefter passer de på fakturamønstre og sender til sidst en falsk faktura til betaling eller justerer betalingsoplysninger på en legitim faktura.

Forretnings-e-mail-kompromis og os

BEC er som en gammeldags opsætning. Bedrageriet er baseret på at manipulere menneskelig adfærd. Kriminelle bruger en kombination af psykologiske tricks og knowhow for at få dig til at afgive deres bud. Følgende er nogle vigtige elementer, som de bruger:

Overvågning

BEC-hackere tager ofte deres tid til at forstå, hvordan en virksomhed og enkeltpersoner i denne virksomhed, arbejder og kommunikerer. De ønsker at få deres e-mails til at se så virkelige ud som muligt og efterligne den medarbejder, de udgir sig for. Af denne grund bruger de lignende ordlyd for at få deres offer til at tro på dem.

Tillid

Scam er bygget op omkring betroede forhold. Ofte vil trickster bruge kendte betroede forhold som en administrerende direktør og finansdirektør til at iværksætte en pengeoverførsel. Hvis vi stoler på den person, der beder os om at overføre penge, er vi mere tilbøjelige til at gøre det. Især hvis sproget og ordene, de bruger, er det samme som normalt.

Gode ​​medarbejdere

BEC-svindel er ofte mest succesrig, når de bruger en følelse af presserende karakter. Dette kan manipulere en medarbejders behov for at gøre et godt stykke arbejde. Forfalsknings-e-mails har handlingsemner som “Behandl denne overførsel hurtigst muligt; hvis vi ikke flytter disse penge kl. 12, mister vi denne store aftale ”. Frygten for at få skylden, hvis der ikke overføres noget i tide, beder medarbejderen om at overholde. Uopsætteligheden får også folk til at stresse, hvilket gør dem mindre tilbøjelige til at afhente eventuelle spor, at det faktisk er en fidus.

Måder at forhindre at blive BEC-svindlet

Som med alle cybersikkerhedstrusler er der måder at reducere din risiko og spille cyberkriminalitet på deres eget spil. Derfor har vi anført nogle ideer om, hvordan man forbliver skarp og følgelig beskyttet.

1. At være opmærksom

Først og fremmest skal du sørge for, at alle i din virksomhed, fra bestyrelsen til individuelle medarbejdere, er opmærksomme på, hvad en BEC-fidus er, og hvordan den kan ske. Gør især målrettede forretningsområder, som økonomi, opmærksomme på truslen. Sæt kontroller og foranstaltninger på plads, som at foretage et telefonopkald for at dobbelttjekke en stor overførsel.

2. Brug robust e-mail-godkendelse

Selvom meget af en BEC-fidus er baseret på social engineering, er der nogle svindel, der hacker til e-mail-konti. Hvis du kan, skal du anvende tofaktorautentisering (2FA) for at få adgang til en e-mail-konto. F.eks. Tilbyder e-mail-systemer som Gmail dette ved hjælp af en mobilapp eller en SMS-besked. Vær opmærksom på, at sms-SMS 2FA har nogle kendte sikkerhedsproblemer. Således kan en mobilappkode være mere sikker.

3. Kontroller dit domæne

De forfalskede e-mail-adresser, som de kriminelle os, har ofte lignende domæner i e-mail-adressen. Sørg for, at du køber op alle domæner, der ligner dit hoveddomæne. Som et resultat vil hackere ikke kunne misbruge dem.

4. Vær hygiejnisk

Grundlæggende sikkerhedshygiejne-foranstaltninger som malware-forebyggelse skal altid følges. For at opdatere din hukommelse om, hvad det betyder, kan du tage et kig på vores 8 trin for at forblive stive online. Selvom dette er rettet mod den enkelte, er det vigtigt, at alle i din virksomhed er opmærksomme på disse trin.

Afsluttende tanker

Det, der er så koldt ved Business Email-kompromis, er, at hackeren bliver en spion og bruger vores egen opførsel mod os. BEC kan være en meget kostbar kriminalitet, der sætter virksomheder under alvorlig økonomisk belastning. Det resulterer undertiden endda i, at enkeltpersoner bliver afskediget. Nogle enkle metoder som at være sikkerhedsbevidste kan hjælpe med at minimere risikoen for, at din virksomhed bliver ramt af denne ødelæggende cyberkriminalitet.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me