Oszustwa typu BEC. Czym są?
Business Email Compromise, znane także jako BEC, to jeden z najprostszych sposobów na wyłudzenie pieniędzy od firmy. Jakie sztuczki stosują oszuści? Jak uchronić się przed atakiem BEC?
- Joanna Gościńska
- /
- 3 stycznia 2024
BEC – skuteczny sposób na wyłudzenie pieniędzy
Ataki na firmę typu Business Email Compromise, nazywany również atakami BEC, to jeden z najprostszych sposobów na wyłudzenie pieniędzy od firmy. Mimo różnych zabezpieczeń, jakie stosują firmy, ich skuteczność jest niezwykle wysoka, a kwoty, jakie tracą poszczególne firmy, zatrważająco wysokie. Jak wynika z danych KPMG, w 2022 r. minimum jedną próbę naruszenia bezpieczeństwa odnotowało 58% polskich przedsiębiorstw, a wzrost intensywności cyberataków zauważyło 33% firm. Naruszenie biznesowej poczty email to rodzaj przestępstw, w którym oszuści wykorzystują pocztę e-mail, aby nakłonić kogoś do wysłania pieniędzy lub ujawnienia poufnych informacji firmowych. Jest to atak, który opiera się przede wszystkim na ludzkiej naiwności i nieuwadze.
12(21) 2023 SECURITY MAGAZINE Monika Świetlińska
Sprawcy przeważnie „znają” swoją potencjalną ofiarę, a ich ataki są przemyślane i dobrze przygotowane. W atakach typu BEC oszuści podszywają się pod właścicieli firm lub osoby znajdujące się w zarządach przedsiębiorstw (np. na stanowisku dyrektora lub prezesa) i wysyłają fałszywe wiadomości, w których najczęściej proszą o zmianę numeru rachunku do przelewu, pilne uregulowanie płatności lub pilną realizację określonego przelewu.
Jakie sztuczki stosują oszuści?
Oszuści stosują różne sztuczki i techniki manipulacji, które mogą zmylić pracownika. Wiadomości przeważnie są pilne, najczęściej dotyczą natychmiastowej weryfikacji stanu konta lub uaktualnienia danych do przelewu. Wymagają szybkiego podjęcia określonych działań np. otwarcie załączników lub kliknięcie linków, a poprzez nacisk i presję czasu, nie dają pracownikom przestrzeni na analizę sytuacji. Bardzo często zawierają też prośbę o zachowanie poufności i anonimowość, co dla niektórych może być „potwierdzeniem” polecenia zwierzchnika.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Wiadomości typu BEC najczęściej wysyłane są z adresu email do złudzenia przypominającego ten prawdziwy, co sprawia, że wiadomość wygląda na wiarygodną. W niektórych sytuacjach, gdy przestępcy przejmą skrzynkę e-mail pracownika, wiadomość może pochodzić z prawdziwego adresu. Autentyczności dodają także styl i język pisania wiadomości, który może być bardzo podobny do tego, w jaki na co dzień kontaktuje się osoba, za którą podszyli się oszuści. Dodatkowo cyberprzestępcy, którzy przygotowują się do ataku, dobrze znają firmę i jej strukturę, co sprawia, że ich wiadomości do złudzenia przypominają te prawdziwe.
Jak uchronić się przed atakiem BEC?
Aby się uchronić przed atakiem BEC, przede wszystkim nie ulegaj presji czasu i autorytetu. To właśnie dzięki wpłynięciu na emocje oszuści chcą skłonić ofiarę do szybkiego, nieprzemyślanego działania. Kolejną rzeczą, o której warto pamiętać, to sprawdzanie nadawcy wiadomości. Zawsze weryfikuj adres email, od którego otrzymałeś/-łaś wiadomość. Skontaktuj się bezpośrednio z osobą, która zleca Ci zadania (np. telefonicznie) i upewnij się, że jest tą, za którą się podaje. Większe bezpieczeństwo Twojej skrzynki dają Ci także zaawansowane filtry spamu, skanery złośliwego oprogramowania i rozwiązania antyphishingowe.
Implementacja i zarządzanie systemami wykrywania i zapobiegania włamaniom (IDS/IPS)Damian Jemioło
Dobrym rozwiązaniem są także regularne szkolenia, ćwiczenia i warsztaty podnoszące kompetycje pracowników. Im większa świadomość cyberzagrożeń, tym większe bezpieczeństwo firmy. Warto także:
- ustalić zasady płatności za przelewy, które mogą uchronić organizację przed utratą pieniędzy w wyniku ataku BEC;
- ustalić Sposób weryfikacji zmiany numeru konta kwestie potwierdzania transakcji finansowych, zwłaszcza tych, które obejmują znaczne sumy;
- zadbać o silne hasła do usług, z których się korzysta. Najlepiej włączyć weryfikację dwuetapową. Włącz weryfikację dwuetapową;
- unikać otwierania załączników lub klikania w linki w wiadomościach e-mail pochodzących z nieznanych źródeł;
- dbać o bezpieczeństwo sprzętu, z którego korzystasz oraz pamiętać o regularnym aktualizowaniu programów i systemów, z których się korzysta.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?