7 typów ataków na firmową pocztę e-mail, które zagrażają Twojej organizacji

Próby oszustw podszywania się pod kogoś innego trwają od tysiącleci. Pomyśl o dawno zaginionym „kuzynie”, który chce przekazać Ci spadek, ale z jakiegoś powodu nie może. Albo o podróżującym sprzedawcy z wątpliwymi referencjami medycznymi, który przekonuje ofiary do kupowania jego cudownych leków. Jednak poczta e-mail, media społecznościowe, a ostatnio sztuczna inteligencja (AI) sprawiły, że łatwiej niż kiedykolwiek jest każdemu podszywać się pod kogoś z autorytetem. Deepfake’i znacznie podniosły stawkę – umożliwiając złośliwym aktorom naśladowanie wizerunku, głosu i osobowości ludzi za pośrednictwem mediów cyfrowych. Według FBI ataki typu business email compromise (BEC) kosztowały amerykańskie organizacje 55 miliardów dolarów w okresie dziesięciu lat od października 2013 r. do grudnia 2023 r. A ryzyko to tylko rośnie.

Jakie są główne typy ataków polegających na wykorzystaniu firmowej poczty e-mail?

Współczesne ataki na firmową pocztę elektroniczną polegają na stosowaniu różnych technik podszywania się, aby nakłonić pracowników do podjęcia pilnych działań, które mogą polegać na zapłaceniu fałszywej faktury, udzieleniu nieautoryzowanego dostępu do poufnych informacji lub nawet zakupieniu kart podarunkowych lub sprzętu dla osoby trzeciej.

Zrozumienie, w jaki sposób przeprowadzane są te ataki i kto jest ich celem, może pomóc Twojej organizacji w edukowaniu pracowników i powstrzymywaniu zagrożeń BEC zanim ktoś popełni błąd, który może okazać się bardzo kosztowny.

Przyjrzyjmy się siedmiu typom ataków na firmową pocztę e-mail.

Oszustwo CEO

Jednym z najczęstszych ataków polegających na kompromitacji poczty e-mail w firmie jest sytuacja, gdy cyberprzestępca podszywa się pod CEO, CFO lub innego starszego dyrektora za pośrednictwem podrobionego lub skompromitowanego konta e-mail. Oszust zazwyczaj prosi pracownika działu HR o podanie poufnych informacji lub instruuje kogoś z działu finansowego, aby zainicjował pozornie prawdziwy przelew bankowy. Jest to skuteczne, ponieważ wykorzystuje ustalone hierarchie i szacunek ludzi do autorytetu. Atakujący podszywają się w tym przypadku pod CEO prosi osobę o zachowanie poufności faktu, że udostępniła informacje lub przekazała pieniądze. Daje to sprawcy więcej czasu, zanim jego podstęp zostanie wykryty, co zwiększa prawdopodobieństwo, że pieniądze Twojej organizacji znikną na zawsze i przelewu bankowego nie będzie można już zatrzymać.

Naruszenie konta

Atakujący mogą również używać naruszonych kont e-mail do rozprzestrzeniania dodatkowych ataków typu business email compromise na innych, niczego niepodejrzewających użytkowników – takich jak prośba między dwoma księgowymi. Mogą również rozprzestrzeniać złośliwe oprogramowanie, oprogramowanie wymuszające okup i inne złośliwe treści za pośrednictwem tego legalnego kanału.

Podszywanie się pod dostawcę

Atakujący często podszywają się pod dostawcę lub partnera, z którym współpracuje Twoja organizacja, i wysyłają fałszywe faktury, które wyglądają na prawdziwe i mogą zawierać poufne informacje, które znają tylko Ty i Twój dostawca. Prośba często nie jest nowa, nie jest podejrzana i może być regularną prośbą opartą na ustalonym harmonogramie – co sprawia, że jest niezwykle trudna do wykrycia i zatrzymania. Może to być ta sama kwota, którą zawsze płacisz, ale tym razem proszą, aby trafiła na nowe konto firmowe, które jest potajemnie kontrolowane przez cyberprzestępców. Posiadanie dodatkowego kanału komunikacji (na przykład telefonu lub aplikacji do przesyłania wiadomości) lub tajnego hasła pozwala potwierdzać prośby, jeśli coś wydaje się podejrzane, ale wielu użytkowników polega wyłącznie na poczcie e-mail, aby prowadzić interesy z dostawcą lub partnerem. W razie wątpliwości podnieś słuchawkę i zadzwoń do swojego kontaktu na podstawie numeru telefonu, który już masz.

Podszywanie się pod prawnika

Atakujący podszywający się pod prawników wykorzystują wrodzony strach ludzi przed konsekwencjami prawnymi. Zastanów się, kiedy ostatnio prawnik skontaktował się z tobą znienacka z dobrą nowiną? Prośba o zachowanie poufności przez podszywającego się również pomaga, ponieważ często uniemożliwia celowi omawianie komunikacji z kimkolwiek innym, w tym ze współpracownikami, którzy mogliby wiedzieć, że scenariusz wydaje się nietypowy. Ludzie mają tendencję do podskakiwania, gdy ktoś podający się za prawnika składa prośbę.

Przekierowanie wynagrodzeń

Kompromis w zakresie poczty e-mail firmowej może również przejąć kontrolę nad Twoją wypłatą. Ataki polegające na przekierowaniu wypłaty podszywają się pod konto e-mail pracownika i składają formalny wniosek do działu płatności z prośbą o zmianę danych do bezpośredniego przelewu przelewu. Nowe konta należą do oszustów i zanim pracownik zauważy brak wypłaty, pieniądze prawdopodobnie dawno znikną. Wyobraź sobie, jak dochodowy jest ten typ ataku na dużą skalę.

Kradzież danych

Pieniądze nie są jedynym celem ataków polegających na naruszeniu firmowej poczty e-mail. Podszywający się pod kogoś żądają również poufnych danych, których mogą użyć do tworzenia fałszywych kart kredytowych, kont bankowych i innych oszustw związanych z tożsamością osobistą. Pracownicy działów kadr są szczególnie kuszącym celem, ponieważ mają dostęp do skarbnicy danych osobowych pracowników do których mają bezpośredni dostęp – od informacji bankowych po adresy i numery ubezpieczenia społecznego.

Oszustwo z kartami podarunkowymi

Jedną z najgorszych form oszustw związanych z pocztą e-mail są oszustwa związane z kartami podarunkowymi. Ktoś podszywający się pod dyrektora generalnego lub innego wysoko postawionego dyrektora wyśle prośbę do pracownika o zakup kart podarunkowych na rozdawnictwo dla klientów, program rabatowy lub inny konkurs. „Wystarczy przesłać raport wydatków, a my zwrócimy pieniądze” — głosi wiadomość. Jednak do czasu, gdy przejdzie ona przez odpowiednie kanały i zostanie oznaczona do sprawdzenia, karty podarunkowe zostaną zrealizowane, a pieniądze przepadną na zawsze. Ci atakujący liczą na to, że ludzie nie będą w stanie powiedzieć szefowi „nie” i to działa.

Dowiedz się, jak wykrywać i zatrzymywać ataki BEC

Technologia sprawia, że podszywanie się pod kogoś jest łatwiejsze niż kiedykolwiek – zwłaszcza osobę o autorytecie, taką jak CEO lub bezpośredni menedżer. Ludzie prawdopodobnie przyjmą to, co mówią te osoby, za dobrą monetę, zamiast ryzykować ich rozczarowanie. Dlatego tak ważne jest dzielenie się tego typu informacjami ze współpracownikami.

Oprócz tego nie możesz zapominać o skutecznej ochronie antywirusowej. Programy antywirusowe z linii Bitdefender GravityZone, zapewnią Twojej organizacji najlepszy możliwy poziom zabezpieczeń. Jeśli chcesz poznać więcej informacji, to sprawdź tę stronę.