SCHEMAT OSZUSTWA - BEC

 

Ile razy dziennie otrzymujesz służbową wiadomość e-mail? Wielu z nas odpowiedziałoby „zbyt często”… i doskonale wiedzą o tym przestępcy. Z tego też powodu często uznają, że to świetna droga ataku na pracowników większych i mniejszych firm, prywatnych i publicznych organizacji, z każdego sektora.

Ataki typu BEC (ang. Business e-mail compromise) to rodzaj oszustwa, w którym atakujący wykorzystują socjotechnikę celem pozyskania wrażliwych informacji o organizacji lub wyłudzenia przelewów na wysokie kwoty.

Cyberprzestępcy najczęściej wykorzystują następujące scenariusze:

  • atakujący podszywając się pod CEO lub członka zarządu, wysyłają wiadomość e-mail do pracownika działu finansowego, informując o potrzebie wykonania pilnego przelewu na wskazany rachunek,
  • atakujący podszywają się pod pracownika danej organizacji i rozsyłają wiadomości e-mail informujące o konieczności zapłaty za zobowiązania na wskazany w wiadomości rachunek, który rzekomo jest nowym kontem firmy,
  • atakujący tworzą fałszywe faktury i rozsyłają z rzekomą potrzebą pilnej zapłaty, wiadomość często wygląda generycznie, a cyberprzestępcy nie podszywają się pod konkretnego pracownika, a ogólnie organizację,
  • atakujący podszywają się pod prawnika, informując o rzekomym działaniu w imieniu właściciela firmy (lub innej osoby zarządzającej/decyzyjnej) starają się wymusić konkretne działania,
  • atakujący podszywają się pod pracownika firmy i wysyłają wiadomości do działu kadr/HR informując o rzekomej zmianie numeru rachunku do wypłaty wynagrodzenia.

Należy jednak pamiętać, że i w tym rodzaju ataku kreatywność przestępców nie zna granic i mogą wymyślić nowe scenariusze. Dodatkowo, stosowana przez atakujących socjotechnika może być wzmocniona poprzez przejęcie oryginalnych wiadomości e-mail i wykorzystanie ich do manipulacji. Przejęcie tego typu wiadomości pozwala przestępcom na kontynuowanie korespondencji (z wykorzystaniem adresu e-mail łudząco przypominającym poprawny) i/lub na weryfikowanie jaki styl języka jest wykorzystywany w komunikacji, czy rozmówcy zwracają się do siebie po imieniu, a następnie stworzenie wiarygodniejszych treści oszukańczych.

 

Co robić, aby ustrzec pracowników mojej firmy przed oszustwem?

Istotnym jest budowanie świadomości pracowników, np. poprzez regularne szkolenia i/lub informacje nt. bieżących oraz często występujących zagrożeń, na które narażeni jesteśmy my – jako użytkownicy Internetu, oraz my – jako pracownicy firm.

 

A jeżeli ja lub ktoś z mojej firmy nie zorientuje się w porę, że został oszukany?

Wszystko zależy od tego jakie dane zostały wyłudzone.

Jeżeli:

  • wrażliwe dane dotyczące firmy, należy niezwłocznie uruchomić procedury wewnętrzne i zadbać o zabezpieczenie potencjalnych skutków, wynikających z poznania przez osoby trzecie tych informacji;
  • przelew środków, należy niezwłocznie powiadomić bank oraz dokładnie przedstawić zaistniałą sytuację.

W obu przypadkach, warto zgłosić również sprawę do organów ścigania, poprzez złożenie zawiadomienie o popełnieniu przestępstwa. Warto również pamiętać, że wstyd nie jest dobrym doradcą. W takich sytuacjach, jak i w przypadku innego rodzaju oszustw, tym którzy dali się nabrać przestępcom, często towarzyszy pewnego rodzaju poczucie kompromitacji czy hańby. To niestety sprawia, że działania zabezpieczające dalsze skutki oszustwa lub możliwość naprawienia tego, co już się wydarzyło opóźnia się, a to działa na niekorzyść ofiary (a w tym wypadku również jego firmy).