Der er en række forskellige svindelnumre, hvor hackere hacker sig ind i en virksomheds e-mail-systemer eller oprette vildledende e-mail-skabeloner for at overbevise medarbejderne om at overføre penge til svigagtige bankkonti. Beskrevet generelt som Business Email Compromise (BEC), herunder phishing, undertrykte telefonopkald eller generelt datatyveri.
Disse e-mail-baserede angreb anses for at være nogle af de økonomisk mest kostbare cyberforbrydelser i form af skader påført. Ifølge FBI, 19,369 klager over e-mail-baserede angreb blev registreret i 2020, hvilket svarer til et svimlende samlet tab på 1.8 milliarder dollars.
SSL.com tilbyder en bred vifte af SSL /TLS servercertifikater til HTTPS-websteder.
Hvordan fungerer e-mail-baserede angreb?
En BEC-svindler kan bruge enhver af nedenstående taktikker:
Spoofing af websteder eller e-mail-konti
En BEC-hacker ved, at medarbejderne ikke gransker hvert bogstav i en afsenderes e-mailadresse, hvis beskeden er overbevisende, og afsenderen er en velkendt transaktionspartner som en leverandør. Afsenderens e-mailadresse kan være noget lignende johndoe@example.com men hackeren vil snildt ændre det til jhondoe@example.com.
Phishing-e-mails
Phishing-beskeder målrette specifikke og vigtige medlemmer af virksomheden for at bedrage ofre til at videregive følsomme oplysninger (såsom adgangskoder til virksomhedens konti og andre aktiver) til hackerne.
Afsendelse af telefonopkald og beskeder
Selvom de ikke er helt e-mail-baserede, har de, der bruger phishing-beskeder eller andre aggressive e-mail-taktikker, også brugt mobilopkald, tekstbeskeder og voicemail. I denne taktik bliver offeret kontaktet af en virksomhedsmedarbejder, der instruerer om en penge- eller dokumentoverførsel. BEC-angribere har også været kendt for at bruge dyb falsk teknologi til at efterligne virksomhedsledere i telefonopkald og voicemail-beskeder. Dette er, hvad der skete i 2019 for en virksomhedsleder i Storbritannien, da angriberne udgav sig for at være hans chef og bad ham overføre penge til en ungarsk leverandør. Forbryderne slap af sted med 220,000 euro.
Hvad er fremtrædende eksempler på Business Email Compromise?
Enhver eller en kombination af følgende typer af Business Email-kompromis er blevet implementeret med succes af cyberkriminelle.
CEO-svindel
I denne type Business Email Compromise foregiver de cyberkriminelle at være toplederen og sender en e-mail til en medarbejder i virksomhedens økonomiafdeling og instruerer penge om at blive overført til angriberens konto.
Kontokompromis
E-mail-kontoen til en virksomhedsmedarbejder er hacket og bruges til at anmode om fakturabetalinger fra kunder eller klienter. Oplysningerne i den svigagtige faktura manipuleres for at dirigere betalingerne til en konto, der ejes af BEC-angriberen.
Efterligning af advokat
Angriberen udgiver sig for at være virksomhedens advokat, enten på e-mail eller telefon, og anmoder en medarbejder om at overføre penge på vegne af virksomheden eller med godkendelse fra den administrerende direktør. De målrettede ofre er normalt ansatte på lavere niveau, som ikke har autoritet eller bevidsthed til at validere en sådan anmodning. Smarte BEC-svindlere udfører normalt denne taktik før en weekend eller en lang feriepause, når medarbejderne bliver presset til at afslutte arbejdet.
Datatyveri
Medarbejdere i Human Resource eller Accounting-afdelingen er de sædvanlige mål i dette angreb. Cyberskurkene gør en indsats for at narre medarbejderne til at afsløre fortrolige eller kritiske oplysninger ejet af virksomheden. Hvis disse data opnås med succes, kan angriberne enten sælge disse til ofrets forretningskonkurrenter og Dark Web eller bruge dem som rekvisitter til andre typer BEC-ordninger såsom CEO Fraud.
Falsk faktura ordning
I denne fidus foregiver cyberskurke at være virksomhedens leverandører eller tjenesteudbydere. De sender vildledende e-mails til målvirksomhedens medarbejder og anmoder om betaling for ydede tjenester eller solgte forsyninger. Medarbejderen bliver derefter narret til at sende penge til en svigagtig konto.
Hvordan kan SSL.com beskytte din virksomhed mod Business Email Compromise?
En primær grund til, at BEC er et så effektivt svindelnummer, er, at det udnytter menneskelige tendenser: arbejdsdistraktion eller pres og at blive påvirket af autoriteter. I et arbejdsmiljø, hvor der kræves effektivitet, den menneskelige hjerne har en tendens til at tænke heuristisk, især når den beskæftiger sig med velkendte mønstre. At træne medarbejdere til at være mere årvågne kan hjælpe, men der er ingen fuld sikkerhed. Og med fremkomsten af kunstig teknologi, der kan efterligne menneskelige talemønstre, er svigagtige e-mails i stand til at blive understøttet. Det, der er brug for, er fuldsikre metoder, der kan føre til bedre cybersikkerhed. Det er her SSL.com kan hjælpe din virksomhed.
Sikring af dit e-mailsystem med S/MIME
Sikker/Multipurpose Internet Mail Extensions (S/MIME) er et værktøj baseret på asymmetrisk kryptering og Public Key Infrastructure (PKI), der kraftigt krypterer og autentificerer
e-mail-beskeder, og derved bevise identiteten af kilden til e-mailen.
Vores S/MIME tjenesten forhindrer effektivt Business Email Compromise i at gøre virksomhedens ansatte til ofre ved at tilskynde til en protokol, der siger, at e-mails under navnene på ledere, kolleger og tjenesteudbydere kun vil blive underholdt, hvis de har en S/MIME certifikat underskrevet og valideret af os. Hvis medarbejdere får tilsendt en e-mail, der hævder at være fra en person i virksomhedens leder, men ikke er digitalt signeret, kan de blive bedt om ikke at svare og i stedet indberette det til IT-afdelingen til ekspertudredning. Denne protokol giver selv den trætteste eller let distraherede medarbejder mulighed for at begå alvorlige fejl.
Dokumentunderskrift
Når det kommer til at håndtere kontokompromis, vores dokumentsigneringsservice viser sit værd ved at sikre dine kunder og kunder, at de betalingsfakturaer, de modtager, virkelig kom fra dig. Hvis der ikke er nogen digital signatur, så skal de ikke underholde dem, uanset hvor realistiske de ser ud.
For Falske Invoice Scheme kan du etablere et system med dine leverandører eller tjenesteudbydere, hvor du kun skal kommunikere ved hjælp af krypteret e-mail, og de dokumenter, der bruges i dine transaktioner, skal have en valideret og manipulationssikker digital signatur. Hvad angår dine medarbejdere, kan de igen trænes i at gennemsøge indgående dokumenter og kun svare på dem, der er digitalt signeret.
Gå til denne side for at se hvilken S/MIME og dokumentsigneringscertifikat fra SSL.com passer bedst til dine behov.
