Hva er Business Email Compromise (BEC) | VPNoverview

Vi hører ofte at e-postadresse dør på grunn av sosiale medier, men sannheten er at bruken fortsetter å vokse. Forskning fra Radicati Group viser at e-postbruken vil øke til enorme 319,6 milliarder e-postmeldinger sendt og mottatt per dag innen 2021. Det er utrolig mange e-poster. Selv om det er sant at mye av dette er spam og uønsket, er e-post fortsatt en veldig praktisk måte å kommunisere med både interne ansatte og eksterne forretningsforbindelser og kunder.


Siden e-post er en så nyttig del av forretningskommunikasjon, vil det alltid være den viktigste måten for en nettkriminell å målrette mot et individ og en organisasjon. Vi har sett dette utgjort med 76 prosent av virksomhetene som opplever et phishing-angrep.

Som alltid er nettkriminellen en utspekulert motstander og vil finne mange nye og innovative måter å forårsake en cybertrussel på. En annen svært vellykket e-postbasert angrepsmetode er Business Email Compromise, eller BEC for kort. I denne artikkelen skal jeg se på hva BEC er og hvordan vi kan prøve å beskytte virksomheten vår mot denne mest uhyggelige trusler.

Business e-post kompromiss – noen eksempler

Forskning utført av FBI med fokus på de tre årene frem til2016, fant at BEC sto bak 5,3 milliarder dollar i forretningstap over hele verden. Noen eksempler på de som ble offer for BEC-svindel inkluderer:

Østerriksk selskap FACC Operations GMBH: Selskapet tapte 50 millioner euro gjennom en BEC-svindel da hackere etterlignet administrerende direktør, Walter Stephan, i e-post. Falske e-postmeldinger som ble bedt om å få snarlige pengeoverføringer – selvfølgelig gikk pengene rett inn på hackerens bankkonto.

Det kaliforniske selskapet Xoom Corporation: En lignende svindel som FACC Operations BEC-hendelsen; denne gangen hvor rundt 30,8 millioner dollar ble overført til en hacker-konto. Det fikk selskapets aksjekurs til å falle med 17% etter hendelsen.

Toymaker, Mattel: Selskapet overrakte USD 3 millioner til svindlere som brukte BEC-teknikker for å lure organisasjonen til å tro at det var en legitim økonomisk transaksjon.

Disse eksemplene viser alvoret i dette problemet. En BEC-svindel kan koste et selskap millioner. Nok grunn til å finne ut mer om det.

Hvordan en BEC-svindel ser ut

Som mange av de mest vellykkede metodene som brukes av nettkriminelle, er BEC basert på det vanlige temaet for å manipulere menneskelig atferd og bruke teknologi i prosessen. Det generelle begrepet for dette er “sosial ingeniørarbeid”. Den bruker vår menneskelige omgjengelighet og normale tilkobling til andre mennesker for å påvirke kriminlets sluttmål. Her er noen måter BEC-svindlere jobber på:

Administrerende direktør etterligning

Shady CEO With MusttacheFACC Operations-svindelen var basert på forfalskning av administrerende direktørs e-post. Dette kan gjøres enten ved å kapre en faktisk konto eller bruke en falsk e-postadresse for å lure andre til å tro at e-posten er legitim. Kapring innebærer hacking til en faktisk e-postkonto (ved å stjele innloggingsinformasjon) og overta den. Spoofing er en enklere teknikk, men kan være mindre vellykket. Imidlertid kan en forfalsket e-post være veldig vanskelig å oppdage. Spesielt hvis svindleren har sett hvordan administrerende direktør oppfører seg og hvilken type språk de bruker. E-postadresser med forfalskning er veldig lik den virkelige adressen. For eksempel hvis de endrer seg [email protected] til [email protected] bare årvåkne mennesker ville oppdage det forskjellige domenet.

Dårlig faktura

Hackere bruker overvåkningsteknikker for å bygge opp intelligens om hvordan selskapets finansavdeling opererer. Cyberkriminelle vil bruke spyd phishing-e-postmeldinger for å målrette mot en person i avdelingen, og stjele e-postadresse for e-postkonto. De passer på fakturamønstre og sender etter hvert en falsk faktura for betaling eller justerer betalingsdetaljer på en legitim faktura..

Business e-post kompromiss og oss

BEC er som et gammeldags oppsett. Svindelen er basert på å manipulere menneskelig atferd. De kriminelle bruker en kombinasjon av psykologiske triks og kunnskap for å få deg til å by. Følgende er noen viktige elementer som de bruker:

Overvåkning

BEC-hackere tar seg ofte tid til å forstå hvordan et selskap og enkeltpersoner i det selskapet, jobber og kommuniserer. De ønsker å få e-postene til å se så ekte ut som mulig og etterligne den ansatte de ettergir seg. Av denne grunn bruker de lignende ordlyd for å få offeret til å tro dem.

Tillit

Svindelen er bygd rundt pålitelige forhold. Ofte vil trickster bruke kjente pålitelige forhold som det mellom en administrerende direktør og økonomidirektør for å sette i gang en pengeoverføring. Hvis vi stoler på personen som ber oss om å overføre penger, er det mer sannsynlig at vi gjør det. Spesielt hvis språket og ordene de bruker er det samme som normalt.

Gode ​​ansatte

BEC-svindel er ofte mest vellykket når de bruker en følelse av press. Dette kan manipulere en ansattes behov for å gjøre en god jobb. Falske e-postadresser vil ha handlingselementer som “Behandle denne overføringen raskt; hvis vi ikke flytter pengene før klokka 12, mister vi denne store avtalen. Frykten for å få skylden hvis noe ikke blir overført i tide, ber den ansatte til å rette seg etter dette. Presset fører også til at folk stresser, noe som gjør dem mindre sannsynlig å plukke opp noen ledetråder om at det faktisk er en svindel.

Måter å forhindre å bli BEC-svindlet

Som med alle nettbaserte sikkerhetstrusler, er det måter å redusere risikoen for og spille nettkriminalitet på sitt eget spill. Derfor har vi listet opp noen ideer om hvordan du kan holde deg skarp og følgelig beskyttet.

1. Å være klar

Først av alt, sørg for at alle i bedriften din, fra styret til enkeltansatte, er klar over hva en BEC-svindel er og hvordan den kan komme til. Gjør målrettede forretningsområder, som økonomi, spesielt oppmerksom på trusselen. Sett sjekker og tiltak på plass, som å ringe for å dobbeltsjekke en stor overføring.

2. Bruk robust e-postautentisering

Selv om mye av en BEC-svindel er basert på samfunnsingeniør, er det noen svindel som hacker seg til e-postkontoer. Hvis du kan, kan du bruke tofaktorautentisering (2FA) for å få tilgang til en e-postkonto. For eksempel tilbyr e-postsystemer som Gmail dette ved hjelp av en mobilapp eller en SMS-melding. Vær oppmerksom på at SMS-tekst 2FA har noen kjente sikkerhetsproblemer. Dermed kan en mobilappkode være sikrere.

3. Kontroller domenet ditt

Forfalskings-e-postadressene som de kriminelle oss, har ofte lignende domener i e-postadressen. Forsikre deg om at du kjøper opp alle domener som ligner hoveddomenet ditt. Som et resultat vil ikke hackere kunne misbruke dem.

4. Vær hygienisk

Grunnleggende sikkerhetshygiene-tiltak som forebygging av skadelig programvare bør alltid følges. For å friske opp minnet om hva det betyr, kan du ta en titt på de 8 trinnene våre for å holde deg i god stil online. Selv om dette er rettet mot den enkelte, er det viktig at alle i bedriften din er klar over disse trinnene.

Siste tanker

Det som er så avslappende med Business Email Compromise, er at hackeren blir en spion og bruker vår egen oppførsel mot oss. BEC kan være en veldig kostbar forbrytelse, og setter virksomheter under alvorlig økonomisk belastning. Noen ganger resulterer det til og med i at enkeltpersoner blir oppsagt. Noen enkle metoder som å være sikkerhetsbevisste kan bidra til å minimere sjansen for at selskapet ditt blir rammet av denne skadelige nettkriminaliteten..

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me