Jak bronić się przed e-mailami w celu wyłudzenia pieniędzy od firmy
Ataki na firmę typu Business Email Compromise, nazywany również atakami BEC, to jeden z najprostszych sposobów na wyłudzenie pieniędzy od firmy. Ministerstwo Cyfryzacji opublikowało informacje, jak się przed nimi bronić.
Każdego dnia większość z nas otrzymuje kilka, a może nawet kilkadziesiąt wiadomości e-mail, które trafiają nie tylko na nasze skrzynki prywatne, ale przede wszystkim na te służbowe. Informacje o przelewach, kończących się projektach, konieczności opłacenia faktur lub dokonania rozliczenia przed zakończeniem roku, nie jednemu spędzają sen z powiek. Doskonale wykorzystują to cyberprzestępcy, którzy za pomocą różnych metod socjotechniki, próbują nie tylko wykraść nasze prywatne dane lub osobiste konta bankowe, ale przede wszystkim chcą „wyczyścić” konta firmy.
Mimo różnych zabezpieczeń, jakie stosują firmy, skuteczność ataków typu BEC jest niezwykle wysoka, a kwoty jakie tracą poszczególne firmy, zatrważająco wysokie. Jak wynika z danych KPMG, w 2022 r. minimum jedną próbę naruszenia bezpieczeństwa odnotowało 58% polskich przedsiębiorstw, a wzrost intensywności cyberataków zauważyło 33% firm.
Dlaczego ataki typu BEC są tak bardzo skuteczne
Naruszenie biznesowej poczty e-mail to rodzaj przestępstw w którym oszuści wykorzystują pocztę e-mail, aby nakłonić kogoś do wysłania pieniędzy lub ujawnienia poufnych informacji firmowych. Jest to atak, który opiera się przede wszystkim na ludzkiej naiwności i nieuwadze. Sprawcy przeważnie „znają” swoją potencjalną ofiarę, a ich ataki są przemyślane i dobrze przygotowane. W atakach typu BEC oszuści podszywają się pod właścicieli firm lub osoby znajdujące się w zarządach przedsiębiorstw (np. na stanowisku dyrektora lub prezesa) i wysyłają fałszywe wiadomości w których najczęściej proszą o zmianę numeru rachunku do przelewu, pilne uregulowanie płatności lub pilną realizację określonego przelewu.
W jaki sposób rozpoznać atak typu BEC
Oszuści stosują różne sztuczki i techniki manipulacji, które mogą zmylić pracownika. Wiadomości przeważnie są pilne, najczęściej dotyczą natychmiastowej weryfikacji stanu konta lub uaktualnienia danych do przelewu. Wymagają szybkiego podjęcia określonych działań np. otwarcie załączników lub kliknięcie linków, a poprzez nacisk i presję czasu, nie dają pracownikom przestrzeni na analizę sytuacji. Bardzo często zawierają też prośbę o zachowanie poufności i anonimowość, co dla niektórych może być „potwierdzeniem” polecenia zwierzchnika.
Wiadomości typu BEC najczęściej wysyłane są z adresu e-mail do złudzenia przypominającego ten prawdziwy, co sprawia, że wiadomość wygląda na wiarygodną. W niektórych sytuacjach, gdy przestępcy przejmą skrzynkę e-mail pracownika, wiadomość może pochodzić z prawdziwego adresu.
Autentyczności dodają także styl i język pisania wiadomości, który może być bardzo podobny do tego, w jaki na co dzień kontaktuje się osoba, za którą podszyli się oszuści. Dodatkowo cyberprzestępcy, którzy przygotowują się do ataku, dobrze znają firmę i jej strukturę, co sprawia, że ich wiadomości do złudzenia przypominają te prawdziwe.
Jak można się uchronić przed atakiem
Aby się uchronić przed atakiem
- Nie ulegaj presji czasu i autorytetu – to właśnie dzięki wpłynięciu na emocje oszuści chcą skłonić ofiarę do szybkiego, nieprzemyślanego działania.
- Zawsze sprawdzaj nadawcę wiadomości. Zweryfikuj adres email, od którego otrzymałeś/-łaś wiadomość. Skontaktuj się bezpośrednio z osobą, która zleca Ci zadania (np. telefonicznie) i upewnij się, że jest tą, za którą się podaje.
- Zadbaj o bezpieczeństwo poczty e-mail - powinno obejmować zaawansowane filtry spamu, skanery złośliwego oprogramowania i rozwiązania antyphishingowe.
- Regularnie przeprowadzaj szkolenia, ćwiczenia i warsztaty podnoszące kompetycje twoich pracowników. Im większa świadomość cyberzagrożeń, tym większe bezpieczeństwo Twojej firmy.
- Ustal zasady dokonywania płatności za przelewy, które mogą uchronić twoją organizację przed utratą pieniędzy w wyniku ataku BEC.
- Weryfikuj żądania zmiany numeru konta i potwierdzaj transakcje finansowe, zwłaszcza te, które obejmują znaczne sumy, poprzez inne środki komunikacji niż otrzymana wiadomość .
- Zadbaj o silne hasła do usług, z których korzystasz. Włącz weryfikację dwuetapową.
- Unikaj otwierania załączników lub klikania w linki w wiadomościach e-mail pochodzących z nieznanych źródeł.
- Zadbaj o bezpieczeństwo sprzętu, z którego korzystasz. Pamiętaj o regularnym aktualizowaniu programów i systemów z jakich korzystasz.
- Wszystkie incydenty związane z Twoim bezpieczeństwem online zgłaszaj do zespołu CERT Polska.
Sprawdź też:
Uwaga na fałszywe e-maile o zwrocie nadpłaconego podatku za 2022 rok
MF ostrzega przed oszustami wyłudzającymi dane przez telefon
Źródło:
www.gov.pl
Zaczekaj! Skorzystaj z promocji: 24h za 0 zł
Tylko teraz możesz BEZPŁATNIE przetestować PortalFK.pl przez 24h! GWARANTUJEMY:
- dostęp do pełnej zawartości portalu i wszystkich jego funkcji,
- tysiące porad i wskazówek udzielonych
przez najlepszych ekspertów, - ponad 70 szkoleń video,
- całkowity brak opłat!
Poradnia 48h
Jeśli masz jakiekolwiek pytania skorzystaj z indywidualnej porady grona naszych wybitnych Ekspertów.
/WiedzaiPraktyka
/wip