18 Ιούν
CSIi, CSIi Lab, Tech Review, Trends, Απάτες, Απειλές, Ασφάλεια διαδικτύου, Διαδικτυακές απειλές, Διαδίκτυο, Διαρροή Δεδομένων, Εργασία, Εφαρμογές, Ιδιωτικότητα, Κυβερνοασφάλεια, Μέλλον, Τεχνητή Νοημοσύνη, Τεχνολογία

Business Email Compromise (BEC): μια πολύ σοβαρή κατηγορία διαδικτυακής απάτης

Γράφει ο Ραφαήλ Αδαμίδης

 

Μια πολύ επικίνδυνη κατηγορία ηλεκτρονικής απάτης είναι το γνωστό ως BEC. Ουσιαστικά, το συγκεκριμένο έγκλημα συντελείται όταν ο θύτης παριστάνει κάποιον ηγέτη μιας εταιρίας, ώστε να εξαπατήσει τους εργαζομένους της. Το BEC μπορεί να κοστίσει εκατομμύρια σε επιχειρήσεις, ενώ μικρές εταιρίες συχνά δεν μπορούν να ανακάμψουν. Σε αντίθεση με τη μαζική αποστολή phishing emails, οι χάκερς στην περίπτωση αυτή αποκτούν πρόσβαση σε αληθινούς λογαριασμούς στελεχών και επιχειρούν να υποκλέψουν χρήματα ή δεδομένα της εταιρίας και των εργαζομένων της.

Οι μορφές που ενδέχεται να πάρει η συγκεκριμένη απάτη ποικίλλουν. Οι πιο συνήθεις είναι τρεις:

Ο απατεώνας χακάρει το λογαριασμό του CEO της εταιρίας και, μιμούμενος τον τρόπο γραφής και έκφρασης, επιχειρεί να εξαπατήσει τον εργαζόμενο.
Αληθινοί λογαριασμοί στοχοποιούνται από τους εγκληματίες και, αφού παρακολουθούν τις συνομιλίες, χτυπούν τη στιγμή που κάποια μεγάλη πληρωμή πραγματοποιείται.
Οι απατεώνες παριστάνουν δικηγόρους και προσπαθούν να εξαπατήσουν εργαζομένους να εξοφλήσουν κάποια ποσά υπό πίεση, ενώ χρησιμοποιούν και πλαστά έγγραφα, για να ενισχύσουν την αξιοπιστία τους.
Το BEC δεν αποτελεί ακόμα ένα κυβερνοέγκλημα. Οι τεχνικές που χρησιμοποιούνται είναι ιδιαιτέρως αποτελεσματικές και, ως εκ τούτου, δύσκολα ανιχνεύσιμες. Κάποιες από αυτές είναι η αποστολή στοχευμένων μηνυμάτων που κερδίζουν την εμπιστοσύνη του θύματος ή μολυσμένων με ιούς email που τους δίνει πρόσβαση σε προσωπικά στοιχεία ή λογαριασμούς των θυμάτων. Όσον αφορά τους οργανισμούς που στοχοποιούν οι δράστες, ποικίλλουν σε μέγεθος και τρόπο διοίκησης. Εταιρίες, είτε μικρές, είτε μεγάλες, κυβερνητικές υπηρεσίες, μη κερδοσκοπικοί οργανισμοί, ακόμα και σχολεία και πανεπιστήμια, γενικά όποιος οργανισμός διαχειρίζεται χρήματα και πληροφορίες. Για το λόγο αυτό, οι θύτες υποδύονται ηγετικά στελέχη για την επίτευξη των στόχων τους.

Η εκπαίδευση του προσωπικού είναι πολύ σημαντική για την πρόληψη και αντιμετώπιση του παραπάνω φαινομένου. Η αναγνώριση πιθανών phishing emails και η αναφορά ύποπτων μηνυμάτων ενδέχεται να αποβούν σωτήρια για μια εταιρία. Επιπλέον, η τεχνολογία μπορεί να βοηθήσει στη θωράκιση της προστασίας της επιχείρησης, όπως η χρήση Multifactor authentication (MFA) που προσθέτει ακόμα ένα επίπεδο προστασίας ή η ενσωμάτωση της AI.

 

Πηγή:

https://www.microsoft.com/en-us/security/business/security-101/what-is-business-email-compromise-bec