Oszustwa typu BEC. Czym są?

Business Email Compromise, znane także jako BEC, to jeden z najprostszych sposobów na wyłudzenie pieniędzy od firmy.  Jakie sztuczki stosują oszuści? Jak uchronić się przed atakiem BEC?

  • Joanna Gościńska
  • /
  • 3 stycznia 2024

BEC – skuteczny sposób na wyłudzenie pieniędzy 

Ataki na firmę typu Business Email Compromise, nazywany również atakami BEC, to jeden z najprostszych sposobów na wyłudzenie pieniędzy od firmy. Mimo różnych zabezpieczeń, jakie stosują firmy, ich skuteczność jest niezwykle wysoka, a kwoty, jakie tracą poszczególne firmy, zatrważająco wysokie. Jak wynika z danych KPMG, w 2022 r. minimum jedną próbę naruszenia bezpieczeństwa odnotowało 58% polskich przedsiębiorstw, a wzrost intensywności cyberataków zauważyło 33% firm. Naruszenie biznesowej poczty email to rodzaj przestępstw, w którym oszuści wykorzystują pocztę e-mail, aby nakłonić kogoś do wysłania pieniędzy lub ujawnienia poufnych informacji firmowych. Jest to atak, który opiera się przede wszystkim na ludzkiej naiwności i nieuwadze. 

12(21) 2023 SECURITY MAGAZINE12(21) 2023 SECURITY MAGAZINE Monika Świetlińska

Sprawcy przeważnie „znają” swoją potencjalną ofiarę, a ich ataki są przemyślane i dobrze przygotowane.  W atakach typu BEC oszuści podszywają się pod właścicieli firm lub osoby znajdujące się w zarządach przedsiębiorstw (np. na stanowisku dyrektora lub prezesa) i wysyłają fałszywe wiadomości, w których najczęściej proszą o zmianę numeru rachunku do przelewu, pilne uregulowanie płatności lub pilną realizację określonego przelewu.

Jakie sztuczki stosują oszuści?

Oszuści stosują różne sztuczki i techniki manipulacji, które mogą zmylić pracownika. Wiadomości przeważnie są pilne, najczęściej dotyczą natychmiastowej weryfikacji stanu konta lub uaktualnienia danych do przelewu. Wymagają szybkiego podjęcia określonych działań np. otwarcie załączników lub kliknięcie linków, a poprzez nacisk i presję czasu, nie dają pracownikom przestrzeni na analizę sytuacji. Bardzo często zawierają też prośbę o zachowanie poufności i anonimowość, co dla niektórych może być „potwierdzeniem” polecenia zwierzchnika.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Wiadomości typu BEC najczęściej wysyłane są z adresu email do złudzenia przypominającego ten prawdziwy, co sprawia, że wiadomość wygląda na wiarygodną. W niektórych sytuacjach, gdy przestępcy przejmą skrzynkę e-mail pracownika, wiadomość może pochodzić z prawdziwego adresu. Autentyczności dodają także styl i język pisania wiadomości, który może być bardzo podobny do tego, w jaki na co dzień kontaktuje się osoba, za którą podszyli się oszuści. Dodatkowo cyberprzestępcy, którzy przygotowują się do ataku, dobrze znają firmę i jej strukturę, co sprawia, że ich wiadomości do złudzenia przypominają te prawdziwe.

Jak uchronić się przed atakiem BEC?

Aby się uchronić przed atakiem BEC, przede wszystkim nie ulegaj presji czasu i autorytetu. To właśnie dzięki wpłynięciu na emocje oszuści chcą skłonić ofiarę do szybkiego, nieprzemyślanego działania. Kolejną rzeczą, o której warto pamiętać, to sprawdzanie nadawcy wiadomości. Zawsze weryfikuj adres email, od którego otrzymałeś/-łaś wiadomość. Skontaktuj się bezpośrednio z osobą, która zleca Ci zadania (np. telefonicznie) i upewnij się, że jest tą, za którą się podaje. Większe bezpieczeństwo Twojej skrzynki dają Ci także zaawansowane filtry spamu, skanery złośliwego oprogramowania i rozwiązania antyphishingowe. 

Implementacja i zarządzanie systemami wykrywania i zapobiegania włamaniom (IDS/IPS)Implementacja i zarządzanie systemami wykrywania i zapobiegania włamaniom (IDS/IPS)Damian Jemioło

Dobrym rozwiązaniem są także regularne szkolenia, ćwiczenia i warsztaty podnoszące kompetycje pracowników. Im większa świadomość cyberzagrożeń, tym większe bezpieczeństwo firmy. Warto także: 

  • ustalić zasady płatności za przelewy, które mogą uchronić organizację przed utratą pieniędzy w wyniku ataku BEC;
  • ustalić Sposób weryfikacji zmiany numeru konta kwestie potwierdzania transakcji finansowych, zwłaszcza tych, które obejmują znaczne sumy;
  • zadbać o silne hasła do usług, z których się korzysta. Najlepiej włączyć weryfikację dwuetapową.  Włącz weryfikację dwuetapową;
  • unikać otwierania załączników lub klikania w linki w wiadomościach e-mail pochodzących z  nieznanych źródeł;
  • dbać o bezpieczeństwo sprzętu, z którego korzystasz oraz pamiętać o regularnym aktualizowaniu programów i systemów, z których się korzysta. 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: naruszenia bezpieczeństwo w firmie rozwiązania
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!