7 typów ataków Business Email Compromise wymierzonych w Twoją organizację

Próby oszustw podszywania się istnieją od tysiącleci. Pomyśl o dawno zaginionym „kuzynie”, który nagle pojawia się, aby odebrać pokaźny spadek. Albo o wędrownym sprzedawcy z wątpliwymi kwalifikacjami medycznymi, który przekonuje ofiary do zakupu swoich cudownych leków. Jednak e-mail, media społecznościowe i – ostatnio – sztuczna inteligencja (AI) sprawiły, że podszywanie się pod kogoś z autorytetem stało się łatwiejsze niż kiedykolwiek. Deepfake’i dodatkowo podniosły poprzeczkę – umożliwiając złym aktorom naśladowanie wizerunku, głosu i osobowości ludzi poprzez media cyfrowe. Według FBI, ataki typu business email compromise (BEC) kosztowały organizacje w USA 55 miliardów dolarów w ciągu dziesięciu lat – od października 2013 do grudnia 2023. A ryzyko wciąż rośnie.

Jakie są główne typy ataków Business Email Compromise?

Dzisiejsze ataki typu business email compromise wykorzystują różnorodne techniki podszywania się, aby skłonić pracowników do podjęcia pilnych działań – takich jak opłacenie fałszywej faktury, udzielenie nieautoryzowanego dostępu do poufnych informacji czy nawet zakup kart podarunkowych lub sprzętu dla osoby trzeciej.

Zrozumienie, jak te ataki są przeprowadzane i kto jest celem, może pomóc Twojej organizacji w edukowaniu pracowników i zatrzymywaniu zagrożeń BEC, zanim ktoś popełni kosztowny błąd.

Przyjrzyjmy się siedmiu typom ataków business email compromise.

1. Oszustwo na CEO

Jednym z najczęstszych ataków BEC jest sytuacja, gdy zły aktor podszywa się pod CEO, CFO lub innego członka kadry kierowniczej, korzystając ze sfałszowanego lub przejętego konta e-mail. Oszust zwykle prosi pracownika działu HR o przekazanie poufnych danych lub instruuje kogoś z działu finansów, aby zainicjował z pozoru autentyczny przelew. To działa, ponieważ opiera się na ustalonych hierarchiach i szacunku wobec autorytetu.

Podszywający się, występując w roli CEO, prosi ofiarę, aby zachowała w tajemnicy fakt przekazania informacji lub dokonania przelewu. Daje mu to więcej czasu, zanim oszustwo zostanie wykryte, co zwiększa szanse, że pieniądze organizacji znikną bezpowrotnie, a przelew nie będzie już możliwy do zatrzymania.

3. Przejęcie konta

Atakujący mogą także wykorzystywać przejęte konta e-mail do dalszego rozsyłania ataków BEC do innych, niczego niepodejrzewających użytkowników – np. wysyłając prośbę między dwoma księgowymi. Mogą również rozprzestrzeniać malware, ransomware i inne złośliwe treści przez ten wiarygodny kanał.

3. Podszywanie się pod dostawcę

Atakujący często podszywają się pod dostawcę lub partnera biznesowego Twojej organizacji i wysyłają fałszywe faktury, które wyglądają autentycznie i mogą zawierać poufne informacje, znane tylko Tobie i Twojemu dostawcy. Taka prośba często nie wygląda na podejrzaną i może być regularnym żądaniem zgodnym z ustalonym harmonogramem – co sprawia, że jest niezwykle trudna do wykrycia. Może to być taka sama kwota, jaką zwykle płacisz, ale tym razem proszą o przesłanie jej na nowe konto firmowe, które potajemnie kontrolują cyberprzestępcy.

Posiadanie drugiego kanału komunikacji (telefon, komunikator) lub sekretnego hasła umożliwia potwierdzenie żądań, jeśli coś wydaje się podejrzane. Niestety wielu użytkowników opiera się wyłącznie na e-mailu w kontaktach z dostawcami czy partnerami. Jeśli masz wątpliwości – zadzwoń do swojego kontaktu, używając numeru, który już posiadasz.

4. Podszywanie się pod prawnika

Atakujący podszywający się pod prawników wykorzystują naturalny strach ludzi przed konsekwencjami prawnymi. Pomyśl – kiedy ostatnio prawnik odezwał się do Ciebie z nagłą, dobrą wiadomością? Prośba o poufność dodatkowo sprzyja oszustwu, ponieważ często uniemożliwia ofierze skonsultowanie się z innymi pracownikami, którzy mogliby rozpoznać, że sytuacja jest nietypowa. Ludzie mają tendencję do szybkiego reagowania, gdy ktoś, kto podaje się za prawnika, czegoś od nich żąda.

5. Przekierowanie wypłaty

BEC może również przechwycić Twoją pensję. W atakach przekierowania wypłat podszywa się pod konto e-mail pracownika i wysyła oficjalną prośbę do działu płac o zmianę danych do przelewu wynagrodzenia. Nowe konto należy do oszustów, a gdy pracownik zauważy brak wypłaty, pieniądze są już dawno nie do odzyskania. Wyobraź sobie, jak opłacalny staje się taki atak w skali masowej.

6. Kradzież danych

Pieniądze nie są jedynym celem ataków BEC. Podszywający się często proszą o poufne dane, które mogą wykorzystać do tworzenia fałszywych kart kredytowych, kont bankowych i innych oszustw związanych z tożsamością. Szczególnie kuszącym celem są pracownicy działu HR, ponieważ mają dostęp do prawdziwej skarbnicy danych osobowych pracowników – od informacji bankowych, przez adresy, po numery ubezpieczenia społecznego.

7. Oszustwo na karty podarunkowe

Jedną z najniższych form BEC są oszustwa na karty podarunkowe. Ktoś podszywający się pod CEO lub innego wysokiego rangą menedżera wysyła prośbę do pracownika o zakup kart podarunkowych na potrzeby konkursu, promocji czy programu lojalnościowego. „Po prostu złóż raport wydatków, a my Ci zwrócimy koszty” – głosi wiadomość. Ale zanim przejdzie to przez odpowiednie procedury i zostanie zablokowane, karty zostają już zrealizowane, a pieniądze przepadają na zawsze. Tacy atakujący liczą na to, że ludzie nie będą w stanie odmówić „szefowi” – i to działa.

Jak wykrywać i powstrzymywać ataki BEC

Technologia sprawia, że podszywanie się pod inne osoby jest łatwiejsze niż kiedykolwiek – zwłaszcza pod autorytety, takie jak CEO czy bezpośredni przełożony. Ludzie najczęściej ufają takim osobom na słowo, nie chcąc ich rozczarować. Dlatego tak ważne jest dzielenie się tego typu wiedzą z kolegami z pracy.

Dowiedz się więcej o tym, jak chronić swoją organizację przed atakami BEC, oglądając webinar Bitdefender Hit from All Sides: Cyber Fraud Targeting Organizations. I bądź na bieżąco z aktualnymi zagrożeniami cybernetycznymi, subskrybując nowy podcast Bitdefender CYBERCRIME: From the Front Line.