Υπάρχει μια ποικιλία από απάτες στις οποίες εισβολείς παραβιάζουν τα συστήματα email μιας εταιρείας ή να δημιουργήσετε παραπλανητικά πρότυπα email για να πείσετε τους υπαλλήλους να μεταφέρουν χρήματα σε δόλιους τραπεζικούς λογαριασμούς. Περιγράφεται γενικά ως Συμβιβασμός ηλεκτρονικού ταχυδρομείου για επιχειρήσεις (BEC), συμπεριλαμβανομένου phishing, επιθετικών τηλεφωνικών κλήσεων ή γενικής κλοπής δεδομένων.
Αυτές οι επιθέσεις που βασίζονται σε ηλεκτρονικό ταχυδρομείο θεωρούνται μερικά από τα πιο δαπανηρά οικονομικά εγκλήματα στον κυβερνοχώρο όσον αφορά τις ζημίες που προκλήθηκαν. Σύμφωνα με την FBI, 19,369 καταγγελίες για επιθέσεις μέσω email καταγράφηκαν το 2020, που αντιστοιχούν σε μια εκπληκτική συνολική απώλεια 1.8 δισεκατομμυρίων δολαρίων.
Το SSL.com παρέχει μια μεγάλη ποικιλία SSL /TLS πιστοποιητικά διακομιστή για ιστότοπους HTTPS.
Πώς λειτουργούν οι επιθέσεις που βασίζονται σε email;
Ένας απατεώνας BEC μπορεί να χρησιμοποιήσει οποιαδήποτε από τις παρακάτω τακτικές:
Παραπλάνηση ιστοσελίδων ή λογαριασμών email
Ένας χάκερ της BEC γνωρίζει ότι οι υπάλληλοι δεν ελέγχουν κάθε γράμμα στη διεύθυνση email ενός αποστολέα εάν το μήνυμα είναι πειστικό και ο αποστολέας είναι ένας οικείος συνεργάτης συναλλαγών όπως ένας πωλητής. Η διεύθυνση email του αποστολέα μπορεί να είναι κάτι σαν johndoe@example.com αλλά ο χάκερ θα το αλλάξει έξυπνα σε jhondoe@example.com.
Ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος"
Μηνύματα ηλεκτρονικού ψαρέματος (phishing). στοχεύστε συγκεκριμένα και σημαντικά μέλη της εταιρείας για να εξαπατήσουν τα θύματα να αποκαλύπτουν ευαίσθητες πληροφορίες (όπως κωδικούς πρόσβασης των λογαριασμών της εταιρείας και άλλα περιουσιακά στοιχεία) στους χάκερ.
Αποστολή τηλεφωνικών κλήσεων και μηνυμάτων
Αν και δεν βασίζονται αποκλειστικά σε email, όσοι χρησιμοποιούν μηνύματα ηλεκτρονικού ψαρέματος ή άλλες επιθετικές τακτικές ηλεκτρονικού ταχυδρομείου έχουν επίσης λειτουργήσει χρησιμοποιώντας κλήσεις μέσω κινητού τηλεφώνου, μηνύματα κειμένου και φωνητικό ταχυδρομείο. Σε αυτή την τακτική, ένας υπάλληλος της εταιρείας επικοινωνεί με το θύμα που δίνει οδηγίες για μεταφορά χρημάτων ή εγγράφων. Οι εισβολείς της BEC είναι επίσης γνωστό ότι χρησιμοποιούν βαθιά ψεύτικη τεχνολογία για να υποδυθούν τα στελέχη της εταιρείας σε τηλεφωνικές κλήσεις και μηνύματα φωνητικού ταχυδρομείου. Αυτό συνέβη το 2019 σε στέλεχος εταιρείας στο Ηνωμένο Βασίλειο, όταν οι επιτιθέμενοι προσποιήθηκαν ότι ήταν το αφεντικό του και τον ζήτησαν να μεταφέρει χρήματα σε έναν Ούγγρο προμηθευτή. Οι εγκληματίες ξέφυγαν με 220,000 ευρώ.
Ποια είναι εξέχοντα παραδείγματα Συμβιβασμού ηλεκτρονικού ταχυδρομείου για επιχειρήσεις;
Οποιοσδήποτε, ή ένας συνδυασμός, των παρακάτω τύπων Συμβιβασμού για το Business Email έχει εφαρμοστεί με επιτυχία από εγκληματίες στον κυβερνοχώρο.
CEO Απάτη
Σε αυτόν τον τύπο επιχειρηματικού συμβιβασμού ηλεκτρονικού ταχυδρομείου, οι εγκληματίες του κυβερνοχώρου προσποιούνται ότι είναι το ανώτατο στέλεχος και στέλνουν email σε έναν υπάλληλο στο οικονομικό τμήμα της εταιρείας, δίνοντας εντολή να μεταφερθούν χρήματα στον λογαριασμό του εισβολέα.
Συμβιβασμός λογαριασμού
Ο λογαριασμός email ενός υπαλλήλου της εταιρείας παραβιάζεται και χρησιμοποιείται για να ζητήσει πληρωμές τιμολογίων από πελάτες ή πελάτες. Οι πληροφορίες στο δόλιο τιμολόγιο παραποιούνται προκειμένου να κατευθύνονται οι πληρωμές σε έναν λογαριασμό που ανήκει στον εισβολέα BEC.
Απομίμηση Δικηγόρου
Ο εισβολέας υποδύεται τον δικηγόρο της εταιρείας, είτε μέσω email είτε μέσω τηλεφώνου, και ζητά από έναν υπάλληλο να μεταφέρει χρήματα για λογαριασμό της εταιρείας ή με την έγκριση του Διευθύνοντος Συμβούλου. Τα στοχευόμενα θύματα είναι συνήθως υπάλληλοι χαμηλότερου επιπέδου που δεν έχουν την εξουσία ή την επίγνωση να επικυρώσουν ένα τέτοιο αίτημα. Οι επιτήδειοι απατεώνες της BEC συνήθως ακολουθούν αυτήν την τακτική πριν από ένα Σαββατοκύριακο ή ένα μεγάλο διάλειμμα διακοπών, όταν οι εργαζόμενοι πιέζονται να τελειώσουν τη δουλειά τους.
Κλοπή δεδομένων
Οι εργαζόμενοι στο τμήμα Ανθρώπινου Δυναμικού ή Λογιστικής είναι οι συνήθεις στόχοι σε αυτήν την επίθεση. Καταβάλλονται προσπάθειες από τους απατεώνες του κυβερνοχώρου για να ξεγελάσουν τους υπαλλήλους να αποκαλύπτουν εμπιστευτικές ή κρίσιμες πληροφορίες που ανήκουν στην εταιρεία. Εάν αυτά τα δεδομένα αποκτηθούν με επιτυχία, οι εισβολείς μπορούν είτε να τα πουλήσουν στους επιχειρηματικούς ανταγωνιστές του θύματος και στο Dark Web, είτε να τα χρησιμοποιήσουν ως στηρίγματα για άλλους τύπους σχημάτων BEC, όπως το CEO Fraud.
Σχέδιο ψευδών τιμολογίων
Σε αυτήν την απάτη, οι απατεώνες του κυβερνοχώρου προσποιούνται ότι είναι οι προμηθευτές ή οι πάροχοι υπηρεσιών της εταιρείας. Στέλνουν παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου στον υπάλληλο της εταιρείας-στόχου ζητώντας πληρωμή για υπηρεσίες που παρέχονται ή πωλήσεις προμηθειών. Στη συνέχεια, ο υπάλληλος ξεγελιέται και στέλνει χρήματα σε έναν δόλιο λογαριασμό.
Πώς μπορεί το SSL.com να προστατεύσει την εταιρεία σας από τον συμβιβασμό του Business Email;
Ένας πρωταρχικός λόγος για τον οποίο το BEC είναι μια τόσο αποτελεσματική απάτη είναι ότι εκμεταλλεύεται τις ανθρώπινες τάσεις: απόσπαση της προσοχής ή πίεση της εργασίας και να επηρεάζεται από την εξουσία. Σε ένα εργασιακό περιβάλλον όπου απαιτείται αποτελεσματικότητα, ο ανθρώπινος εγκέφαλος τείνει να σκέφτεται ευρετικά, ειδικά όταν ασχολείται με οικεία μοτίβα. Η εκπαίδευση των εργαζομένων να είναι πιο προσεκτικοί μπορεί να βοηθήσει, αλλά δεν υπάρχει πλήρης βεβαιότητα. Και με την άνοδο της τεχνητής τεχνολογίας που μπορεί να μιμηθεί τα πρότυπα ανθρώπινης ομιλίας, τα δόλια μηνύματα ηλεκτρονικού ταχυδρομείου μπορούν να υποστηριχθούν. Αυτό που χρειάζεται είναι μέθοδοι πλήρους απόδειξης που μπορούν να οδηγήσουν σε καλύτερη ασφάλεια στον κυβερνοχώρο. Εδώ το SSL.com μπορεί να βοηθήσει την εταιρεία σας.
Ασφάλιση του συστήματος email σας με S/MIME
Ασφαλείς/Πολλαπλές Επεκτάσεις αλληλογραφίας Διαδικτύου (S/MIME) είναι ένα εργαλείο που βασίζεται στην ασύμμετρη κρυπτογράφηση και στην υποδομή δημόσιου κλειδιού (PKI) που κρυπτογραφεί και επαληθεύει έντονα
μηνύματα ηλεκτρονικού ταχυδρομείου, αποδεικνύοντας έτσι την ταυτότητα της πηγής του email.
Τα S/MIME η υπηρεσία αποτρέπει αποτελεσματικά το Business Email Compromise από το να θυματοποιεί τους υπαλλήλους της εταιρείας, ενθαρρύνοντας ένα πρωτόκολλο που δηλώνει ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου με τα ονόματα στελεχών, συναδέλφων και παρόχων υπηρεσιών θα λαμβάνονται μόνο εάν έχουν S/MIME πιστοποιητικό υπογεγραμμένο και επικυρωμένο από εμάς. Εάν σταλεί στους υπαλλήλους ένα email που ισχυρίζεται ότι προέρχεται από κάποιον από τους επικεφαλής της εταιρείας, αλλά δεν είναι ψηφιακά υπογεγραμμένο, τότε μπορεί να τους ζητηθεί να μην απαντήσουν και αντ' αυτού να το αναφέρουν στο τμήμα πληροφορικής για προσδιορισμό από ειδικούς. Αυτό το πρωτόκολλο εξουσιοδοτεί ακόμη και τον πιο κουρασμένο ή αποσπάται εύκολα την προσοχή του εργαζόμενου από τη διάπραξη σοβαρών λαθών.
Υπογραφή εγγράφου
Όταν πρόκειται για την αντιμετώπιση του παραβιασμού του λογαριασμού, υπηρεσία υπογραφής εγγράφων μας δείχνει την αξία του από παρέχοντας διαβεβαίωση στους πελάτες και τους πελάτες σας ότι τα τιμολόγια πληρωμής που λαμβάνουν πραγματικά προήλθαν από εσάς. Αν δεν υπάρχει ψηφιακή υπογραφή, τότε δεν πρέπει να τους διασκεδάζουν όσο ρεαλιστικά κι αν φαίνονται.
Για το Σύστημα Ψευδών Τιμολογίων, μπορείτε να δημιουργήσετε ένα σύστημα με τους προμηθευτές ή τους παρόχους υπηρεσιών σας στο οποίο θα πρέπει να επικοινωνείτε μόνο χρησιμοποιώντας κρυπτογραφημένο ηλεκτρονικό ταχυδρομείο και τα έγγραφα που χρησιμοποιούνται στις συναλλαγές σας θα πρέπει να έχουν επικυρωμένη και αδιάψευστη ψηφιακή υπογραφή. Όσο για τους υπαλλήλους σας, μπορούν και πάλι να εκπαιδευτούν στο να εξετάζουν τα εισερχόμενα έγγραφα και να ανταποκρίνονται μόνο σε αυτά που έχουν ψηφιακή υπογραφή.
Πηγαίνετε στο αυτή η σελίδα για να δούμε ποια S/MIME και πιστοποιητικό υπογραφής εγγράφων από το SSL.com ταιριάζει καλύτερα στις ανάγκες σας.
