Existuje celá řada podvodů, ve kterých útočníci se nabourají do firemních e-mailových systémů nebo vytvořit klamavé e-mailové šablony s cílem přesvědčit zaměstnance k převodu peněz na podvodné bankovní účty. Obecně popisováno jako Business Email Compromise (BEC), včetně phishingu, predátorských telefonních hovorů nebo obecných krádeží dat.
Tyto e-mailové útoky jsou považovány za jedny z finančně nejnákladnějších kybernetických zločinů, pokud jde o způsobené škody. Podle FBIV roce 19,369 bylo zaznamenáno 2020 1.8 stížností na útoky založené na e-mailech, což představuje ohromující celkovou ztrátu XNUMX miliardy dolarů.
SSL.com poskytuje širokou škálu SSL /TLS certifikáty serveru pro webové stránky HTTPS.
Jak fungují útoky založené na e-mailech?
Scammer BEC může použít kteroukoli z níže uvedených taktik:
Spoofing webových stránek nebo e-mailových účtů
BEC hacker ví, že zaměstnanci nezkoumají každý dopis v e-mailové adrese odesílatele, pokud je zpráva přesvědčivá a odesílatel je známý transakční partner jako prodejce. E-mailová adresa odesílatele může být něco podobného johndoe@example.com ale hacker to chytře změní na jhondoe@example.com.
Phishingové e-maily
Phishingové zprávy zaměřte se na konkrétní a důležité členy společnosti, abyste oklamali oběti, aby vyzradily citlivé informace (jako jsou hesla k firemním účtům a další aktiva) hackerům.
Odesílání telefonních hovorů a zpráv
I když to není zcela založeno na e-mailu, ti, kteří používají phishingové zprávy nebo jiné dravé e-mailové taktiky, také operovali pomocí mobilních hovorů, textových zpráv a hlasové pošty. Při této taktice je oběť kontaktována úředníkem společnosti s pokyny k převodu peněz nebo dokumentů. Útočníci BEC jsou také známí tím, že používají hluboce falešnou technologii k vydávání se za vedení společnosti v telefonních hovorech a hlasových zprávách. To se stalo v roce 2019 vedoucímu společnosti ve Spojeném království, když útočníci předstírali, že je jeho šéf, a nařídili mu, aby převedl peníze maďarskému dodavateli. Zločinci utekli s 220,000 XNUMX eury.
Jaké jsou hlavní příklady kompromisu v obchodním e-mailu?
Kybernetičtí zločinci úspěšně implementovali kterýkoli z následujících typů kompromitů obchodních e-mailů nebo jejich kombinaci.
Podvod generálního ředitele
V tomto typu Business Email Compromise se kyberzločinci vydávají za nejvyššího manažera a e-mailují zaměstnanci ve finanční divizi společnosti a instruují, aby byly převedeny peníze na účet útočníka.
Kompromis účtu
E-mailový účet zaměstnance společnosti je hacknutý a používá se k vyžádání plateb faktur od zákazníků nebo klientů. Informace na podvodné faktuře jsou zmanipulovány za účelem nasměrování plateb na účet, který vlastní útočník BEC.
Vydávání se za právníka
Útočník se vydává za právníka společnosti, e-mailem nebo telefonicky, a žádá zaměstnance, aby jménem společnosti nebo se souhlasem generálního ředitele převedl finanční prostředky. Cílovými oběťmi jsou obvykle zaměstnanci na nižší úrovni, kteří nemají pravomoc nebo povědomí k potvrzení takové žádosti. Chytří podvodníci BEC obvykle tuto taktiku provádějí před víkendovou nebo dlouhou prázdninovou přestávkou, kdy jsou zaměstnanci nuceni dokončit práci.
Krádež dat
Obvyklými cíli tohoto útoku jsou zaměstnanci v oddělení lidských zdrojů nebo účetnictví. Počítačoví podvodníci se snaží oklamat zaměstnance, aby vyzradili důvěrné nebo kritické informace ve vlastnictví společnosti. Pokud jsou tato data úspěšně získána, útočníci je mohou buď prodat obchodním konkurentům oběti a Dark Webu, nebo je použít jako rekvizity pro jiné typy BEC schémat, jako je CEO Fraud.
Schéma falešné faktury
V tomto podvodu se kybernetičtí podvodníci vydávají za dodavatele nebo poskytovatele služeb společnosti. Zasílají klamavé e-maily zaměstnanci cílové společnosti požadující platbu za poskytnuté služby nebo prodané zásoby. Zaměstnanec je pak oklamán tím, že pošle peníze na podvodný účet.
Jak může SSL.com ochránit vaši společnost před kompromisem v obchodním e-mailu?
Primárním důvodem, proč je BEC tak účinným podvodem, je to, že využívá lidských tendencí: pracovní rozptýlení nebo tlak a ovlivnění autoritou. V pracovním prostředí, kde je vyžadována efektivita, lidský mozek má tendenci myslet heuristicky, zvláště když se zabývá známými vzory. Školení zaměstnanců k větší ostražitosti může pomoci, ale neexistuje žádná plná záruka. A se vzestupem umělých technologií, které mohou napodobovat lidské řečové vzory, mohou být podvodné e-maily podporovány. Potřebujeme plně ověřitelné metody, které mohou vést k lepší kybernetické bezpečnosti. Zde může SSL.com vaší společnosti pomoci.
Zabezpečení vašeho e-mailového systému pomocí S/MIME
Zabezpečená/víceúčelová internetová rozšíření pošty (S/MIME) je nástroj založený na asymetrickém šifrování a infrastruktuře veřejného klíče (PKI), který silně šifruje a ověřuje
e-mailové zprávy, čímž se prokáže identita zdroje e-mailu.
Náš S/MIME služba účinně zabraňuje Business Email Compromise pronásledovat zaměstnance společnosti tím, že podporuje protokol, který uvádí, že e-maily pod jmény vedoucích pracovníků, kolegů a poskytovatelů služeb budou přijímány pouze tehdy, pokud mají S/MIME námi podepsaný a ověřený certifikát. Pokud je zaměstnancům zaslán e-mail, který tvrdí, že pochází od někoho z vedoucího společnosti, ale není digitálně podepsán, může být nařízeno, aby nereagovali a místo toho jej nahlásili oddělení IT k odbornému posouzení. Tento protokol umožňuje i těm nejunavejším nebo snadno vyrušitelným zaměstnancům dělat závažné chyby.
Podepisování dokumentů
Pokud jde o řešení kompromitace účtu, naši službu podepisování dokumentů ukazuje svou hodnotu tím poskytujete svým klientům a zákazníkům jistotu, že faktury, které dostávají, skutečně pocházejí od vás. Pokud neexistuje digitální podpis, pak by je neměly bavit bez ohledu na to, jak realisticky vypadají.
V případě schématu falešných faktur si můžete se svými dodavateli nebo poskytovateli služeb vytvořit systém, ve kterém byste měli komunikovat pouze pomocí šifrovaného e-mailu a dokumenty používané ve vašich transakcích by měly mít ověřený digitální podpis odolný proti neoprávněné manipulaci. Pokud jde o vaše zaměstnance, mohou být opět vyškoleni, aby procházeli příchozí dokumenty a odpovídali pouze na ty, které jsou digitálně podepsány.
Jít do tato stránka vidět které S/MIME a certifikát pro podepisování dokumentů od SSL.com nejlépe vyhovuje vašim potřebám.
