Különféle csalások léteznek, amelyekben támadók feltörik egy vállalat levelezőrendszereit vagy hozzon létre megtévesztő e-mail sablonokat, hogy meggyőzze az alkalmazottakat arról, hogy pénzt utaljanak át csalárd bankszámlákra. Általában Business Email Compromise (BEC) néven írják le, beleértve az adathalászatot, a ragadozó telefonhívásokat vagy az általános adatlopást.
Ezek az e-mail-alapú támadások az okozott károk tekintetében a pénzügyileg legköltségesebb számítógépes bűncselekmények közé tartoznak. Szerint a FBI19,369-ban 2020 1.8 panaszt regisztráltak e-mail-alapú támadásokkal kapcsolatban, ami elképesztő, XNUMX milliárd dolláros teljes veszteséget jelent.
Az SSL.com széles skáláját kínálja SSL /TLS szerver tanúsítványok HTTPS webhelyekhez.
Hogyan működnek az e-mail alapú támadások?
A BEC csalója az alábbi taktikák bármelyikét alkalmazhatja:
Webhelyek vagy e-mail fiókok hamisítása
A BEC hacker tudja, hogy az alkalmazottak nem vizsgálnak meg minden levelet a feladó e-mail címében, ha az üzenet meggyőző, és a feladó ismerős tranzakciós partner, mint egy eladó. A feladó e-mail címe valami ilyesmi lehet johndoe@example.com de a hacker ügyesen megváltoztatja jhondoe@example.com.
Adathalász e-mailek
Adathalász üzenetek a vállalat meghatározott és fontos tagjait célozzák meg, hogy megtévesszék az áldozatokat, hogy bizalmas információkat (például a vállalat fiókjainak jelszavait és egyéb vagyontárgyait) adjanak ki a hackereknek.
Telefonhívások és üzenetek küldése
Bár nem teljesen e-mail-alapúak, azok, akik adathalász üzeneteket vagy más ragadozó e-mail taktikákat használnak, mobilhívásokkal, szöveges üzenetekkel és hangpostával is működtek. Ebben a taktikában a sértettel felveszi a kapcsolatot a cég illetékese, aki pénz- vagy iratátutalásra utasítja. A BEC támadóiról az is ismert, hogy mély hamis technológiát használnak arra, hogy telefonhívásokban és hangpostaüzenetekben kiadják magukat a vállalati vezetőknek. Ez történt 2019-ben egy cégvezetővel Nagy-Britanniában, amikor a támadók a főnökének adta ki magát, és utasították, hogy utaljon át pénzt egy magyar beszállítónak. A bűnözők 220,000 ezer euróval megúszták.
Melyek az üzleti e-mail kompromisszum kiemelkedő példái?
Az alábbi üzleti e-mail-kompromisszumok bármelyikét vagy kombinációját sikeresen megvalósították a kiberbűnözők.
Vezérigazgató csalás
Az ilyen típusú üzleti e-mail-kompromisszumok során a kiberbűnözők úgy tesznek, mintha a legfelsőbb vezetők lennének, és e-mailt küldenek a vállalat pénzügyi részlegének alkalmazottjának, és utasítják, hogy utaljanak pénzt a támadó számlájára.
Fiókkompromittálódás
Egy vállalati alkalmazott e-mail fiókját feltörték, és arra használják, hogy számlafizetést kérjenek az ügyfelektől vagy ügyfelektől. A hamis számlán szereplő információkat manipulálják annak érdekében, hogy a kifizetéseket a BEC támadójának tulajdonában lévő számlára irányítsák.
Ügyvédi megszemélyesítés
A támadó a cég ügyvédjének adja ki magát, akár e-mailben, akár telefonon, és arra kéri az alkalmazottat, hogy utaljon át pénzt a vállalat nevében, vagy a vezérigazgató jóváhagyásával. A megcélzott áldozatok általában alacsonyabb beosztású alkalmazottak, akiknek nincs felhatalmazásuk vagy tudatosságuk egy ilyen kérés érvényesítésére. A ravasz BEC csalók általában ezt a taktikát alkalmazzák egy hétvégi vagy hosszú ünnepi szünet előtt, amikor az alkalmazottaknak nyomást kell gyakorolniuk a munka befejezésére.
Adatlopás
A támadás szokásos célpontjai az emberi erőforrás vagy a számviteli osztály alkalmazottai. A kiberbűnözők erőfeszítéseket tesznek, hogy becsapják az alkalmazottakat a vállalat tulajdonában lévő bizalmas vagy kritikus információk nyilvánosságra hozatalára. Ha ezeket az adatokat sikeresen megszerezték, a támadók vagy eladhatják ezeket az áldozat üzleti versenytársainak és a Sötét Webnek, vagy felhasználhatják őket más típusú BEC-sémákhoz, például a CEO-csaláshoz.
Hamis számla séma
Ebben az átverésben a kiberbűnözők úgy tesznek, mintha a cég beszállítói vagy szolgáltatói lennének. Megtévesztő e-maileket küldenek a célvállalat alkalmazottjának, amelyben fizetést kérnek a nyújtott szolgáltatásokért vagy az eladott árukért. Ezután az alkalmazottat becsapják azzal, hogy pénzt küldjön egy csaló számlára.
Hogyan védheti meg az SSL.com cégét az üzleti e-mailek megsértésével szemben?
Az elsődleges ok, amiért a BEC ilyen hatékony átverés, az az, hogy kihasználja az emberi hajlamokat: a munkahelyi figyelemelterelést vagy nyomást, valamint a hatalom befolyásolását. Olyan munkahelyi környezetben, ahol hatékonyságra van szükség, az emberi agy hajlamos heurisztikusan gondolkodni, különösen, ha ismerős mintákkal foglalkozik. Az alkalmazottak éberségre való képzése segíthet, de nincs teljes biztosíték. És az emberi beszédmintákat utánzó mesterséges technológia térnyerésével a csalárd e-maileket meg lehet akadályozni. Teljesen megbízható módszerekre van szükség, amelyek jobb kiberbiztonsághoz vezethetnek. Itt segíthet az SSL.com cégének.
E-mail rendszerének biztonsága a következővel S/MIME
Biztonságos/többcélú internetes levelezőbővítmények (S/MIME) egy aszimmetrikus titkosításon és nyilvános kulcsú infrastruktúrán alapuló eszköz (PKI), amely erősen titkosít és hitelesít
e-mail üzeneteket, ezzel igazolva az e-mail forrásának azonosságát.
termékeink S/MIME A szolgáltatás hatékonyan megakadályozza, hogy a Business Email Compromise a vállalati alkalmazottak áldozatává váljon azáltal, hogy olyan protokollt ösztönöz, amely kimondja, hogy a vezetők, kollégák és szolgáltatók neve alatt küldött e-maileket csak akkor fogadják el, ha rendelkeznek S/MIME általunk aláírt és hitelesített tanúsítvány. Ha az alkalmazottak kapnak egy e-mailt, amelyben azt állítják, hogy valaki a vállalat vezetőjétől származik, de nincs digitálisan aláírva, akkor utasíthatják őket, hogy ne válaszoljanak, hanem jelentsék az informatikai osztálynak szakértői döntés céljából. Ez a protokoll még a legfáradtabb vagy könnyen elvonható alkalmazottat is felhatalmazza a súlyos hibák elkövetésére.
Dokumentum aláírása
Amikor a fiókkompromittálással kell foglalkozni, dokumentum-aláíró szolgáltatásunk mutatja az értékét biztosítékot nyújt ügyfeleinek és ügyfeleinek, hogy a kapott fizetési számlák valóban Öntől származnak. Ha nincs digitális aláírás, akkor ne szórakoztassák őket, bármennyire is valósághűnek tűnnek.
A hamis számlarendszer esetében beszállítóival vagy szolgáltatóival létrehozhat egy olyan rendszert, amelyben csak titkosított e-mailek használatával szabad kommunikálnia, és a tranzakciókban használt dokumentumoknak érvényesített és hamisításbiztos digitális aláírással kell rendelkezniük. Ami az alkalmazottakat illeti, ismét megtaníthatják őket arra, hogy átvizsgálják a bejövő dokumentumokat, és csak a digitálisan aláírt dokumentumokra válaszoljanak.
Ugrás ez az oldal hogy melyik S/MIME és az SSL.com dokumentum-aláíró tanúsítványa megfelel az Ön igényeinek.
