Business Email Compromise (BEC) är ett snabbt växande cybersäkerhetshot som alla företag, särskilt små och medelstora (SMB) företag står inför. FBI: s Internet Crime Complaint Center (IC3) rapporterade i sin Internet Crime Report 2020 att de satte in 19 369 Business Email Compromise (BEC) klagomål uppgående till över 1,8 miljarder dollar i justerade förluster i USA för det året.
Om författaren
Christopher Budd är Global Senior Threat Communications Manager på Avast.
BEC-attacker använder främst e-post, men kan utföras med SMS, röstmeddelanden och till och med telefonsamtal. BEC-attacker är anmärkningsvärda eftersom de är starkt beroende av så kallade “social engineering” -tekniker, vilket innebär att de använder bedrägerier och bedrägerier mot människor.
BEC-attacker kan vara mycket effektiva och vem som helst kan bli offer för dem, oavsett hur rika eller sofistikerade. I februari 2020 förlorade Barbara Corcoran – den amerikanska affärskvinnan, investeraren och domaren av tv-entreprenörsrealitetsprogrammet “Shark Tank” – nästan 400 000 dollar i en BEC-bluff. Lyckligtvis möjliggjorde snabba åtgärder henne att få tillbaka pengarna. Men FBI-statistik visar att inte alla är så lyckliga.
Eftersom BEC-attacker är så starkt beroende av social engineering skyddar traditionell säkerhetsprogramvara inte alltid mot dem. Det betyder att du och dina anställda spelar en viktig roll för att skydda mot dem – och varför det är viktigt att förstå vad BEC-attacker är och hur de fungerar.
Hur BEC-attacker fungerar
Även om det finns många sätt att BEC-attacker kan utvecklas, kokar de alla ner till en enkel formel. En angripare kommer att försöka övertyga en anställd att skicka pengar till angriparna genom att utge sig för någon som den anställde litar på.
Angripare försöker ofta lägga oddsen på två sätt. Först försöker de göra deras attack trovärdig av vem de väljer att utge sig för. För det andra försöker de skapa en känsla av brådska så att det avsedda offret är mindre benägna att ifrågasätta transaktionen och är mindre benägna att följa rätt kanaler för betalningar som kan fånga bluffen.
Ibland blandar angripare på ett skickligt sätt dessa två taktiker för bästa effektivitet.
Till exempel, en typ av BEC-attack som vi har sett innebär att en anställd får ett brådskande meddelande från VD eller annan högnivåledare som säger att de behöver att den anställde ska betala en förfallen faktura eller få presentkort för en brådskande företagshändelse rätt bort. Dessa kan vara e-post eller textmeddelanden, men angripare har till och med använt djup falsk teknik för att imitera röstmeddelanden och samtal. En verkställande förlorade 2019 220 000 euro (cirka 243 000 dollar) till en attack som den här när angripare använde djup falsk teknik för att utge sig för sin VD.
I en annan typ av BEC-attack använder angriparna falska och komprometterade e-postkonton för att övertyga en anställd om att de har att göra med en legitim leverantör. Angriparna kan utbyta flera e-postmeddelanden med det avsedda offret för att övertyga henne eller honom att de är en riktig leverantör och sedan skicka dem en falsk faktura. Så här genomfördes attacken mot Barbara Cocoran.
En tredje typ av BEC-attack riktar sig till företagslön. I dessa imiterar angriparna anställda och försöker få företagspersonal att ändra information om anställdas direktinsättning till sitt eget bankkonto. Dessa attacker är mer subtila och tar mer tid men kan vara mycket effektiva.
I nästan alla fall är BEC-angriparnas mål att få pengar på ett av två sätt: elektronisk överföring av pengar (inklusive kryptovaluta) eller presentkort. Medan presentkort för en attack som denna kan vara förvånande, har angripare funnit att det är ett enkelt sätt att överföra och tvätta pengar.
Hur du kan skydda mot BEC-attacker
BEC-attacker är verkligen gammaldags bedrägeriattacker som råkar använda nuvarande teknik: Vi såg denna typ av bluff långt innan det fanns e-post eller röstbrevlåda. Eftersom detta inte är teknologibaserade attacker betyder det att teknikbaserade lösningar inte kommer att vara lika effektiva mot dessa attacker som de är, till exempel, ransomware. Ett välgjordt BEC-e-postmeddelande är till exempel svårt för säkerhetsprogramvara att skilja sig från ett legitimt, särskilt om det kommer från det faktiska – men äventyrade – kontot för någon du litar på.
Det betyder att skydd mot BEC-attacker måste fokusera på två saker: du och dina anställda.
Först utbilda dig själv och dina anställda om BEC-attacker. Du och dina anställda bör lära sig att vara misstänksamma när ett plötsligt oväntat e-postmeddelande kommer från VD och säger “Jag behöver att du får 5 000 dollar i presentkort för en födelsedagsfest idag, skicka mig siffrorna och berätta inte för någon om det” går en långt mot att förhindra dessa attacker.
För det andra, förstärka vikten av att verifiera betalningsförfrågningar och att följa de fastställda reglerna för att betala räkningar, ändra information om direktinsättning och köpa och skicka presentkort. Låt till exempel anställda veta att de ska ringa en anställd eller leverantör som begär betalning. Se till att de vet att de använder det nummer du har registrerat och kontrollera att fakturan eller begäran är legitim innan du gör något annat. Betona att även om förfrågningar verkar komma från personer på hög nivå i ditt företag, måste de anställda fortfarande verifiera. Angripare försöker övertyga avsedda offer för att hålla dessa attacker hemliga för att öka deras chans att lyckas och de byter på anställdas ovilja att ifrågasätta de som är auktoriserade. Gör det tydligt att anställda kan och bör ställa frågor i sådana situationer.
I slutändan lyckas BEC-attacker eftersom angripare lurar sina offer för att tro på deras bedrägeri. Medan BEC-attacker använder teknik är de egentligen bara en modern twist på äldre bedrägerier och bedrägerier. Och för att motverka dem krävs det att man anpassar sig till de nya sätt som dessa gamla bedrägerier fungerar.
Den goda nyheten är att med rätt utbildning, utbildning och att följa rätt politik och procedurer kan du motverka dessa attacker. Du måste bara ta dig tid att utbilda dig själv och dina anställda om att dessa bedrägerier finns, hur de fungerar och det rätta sättet att hantera betalningsförfrågningar – oavsett hur de levereras.
