Miliardy dolarów wyłudzonych przez służbowe maile. Najprostsze mechanizmy hakerów wciąż działają

Dużo mówi się o bezpieczeństwie w sieci i zasadzie ograniczonego zaufania w kontekście firmowego zarządzania. Firmy consultingowe przeprowadzają szkolenia za szkoleniami, zarządy mają czyste sumienie, a pracownicy i tak mają to wszystko w głębokim poważaniu. Bo przecież ci mityczni hakerzy to gdzieś tam w internecie, ale mnie bezpośrednio to nie dotyczy prawda? No nie do końca. Choć wydawać by się mogło, że społeczeństwo coraz swobodniej porusza się po zdigitalizowanej rzeczywistości i zdaje sobie sprawę z czyhających tam zagrożeń, to nie przekłada się to na spadek odnotowywanych wyłudzeń i scamów. Jest wręcz przeciwnie. Liczba oszustw i udanych ataków hakerskich stale rośnie. I nie, cybernetyczni przestępcy nie wyczarowali nowych sztuczek. To wciąż stara dobra metoda na maila.

Ataki BEC najskuteczniejszą formą cyberprzestępczości

BEC, czyli Business E-mail Compromise, to ataki wymierzone w firmową korespondencję. Mechanizm działania opiera się na trzech filarach: zainicjowanie kontaktu, zdobycie zaufania i zachęcenie do podjęcia działań szkodliwych dla firmy. Wszystko oczywiście odbywa się w atmosferze zwykłej korporacyjnej korespondencji, jakiej dziennie pracownicy przeprowadzają niezliczoną ilość. Cel ataku? Tych może być mnóstwo. Wyłudzenia finansowe, kradzież danych klientów, informacje o kontrahentach i wiele więcej. Hakerzy sprawnie operują wiedzą techniczną, okraszoną umiejętnościami socjotechnicznymi aby stworzyć iluzję, na którą złapie się nieświadomy pracownik. I niby wszyscy zdają sobie z tego sprawę i każdy pracownik (przynajmniej w teorii) powinien być na to wyczulony, jednak liczby mówią same za siebie.

FBI poinformowało, że ilość pieniędzy utraconych przez firmy w wyniku scamów BEC stale rośnie. W ujęciu globalnym straty między lipcem 2019 roku a grudniem 2021 wzrosły aż o 65%. Przestępstwa internetowe podlegają w USA pod urząd Internet Crime Complaint Center (IC3). Od czerwca 2016 roku do lipca 2019 otrzymali oni skargi dotyczące ponad 241 tysięcy incydentów krajowych i międzynarodowych, skutkujące łączną stratą na poziomie $43 312 749 946. Co ciekawe zdefraudowane środki płynęły głównie do banków zlokalizowanych w Tajlandii i Hongkongu. Jak podaje FBI, wysokie miejsca w rankingu zajmowały także Meksyk i Singapur. Dane te zostały ujawnione w najnowszym raporcie IC3, jako aktualizacja poprzedniego statusu z września 2019, kiedy to łączne straty wyceniano na 26 miliardów dolarów.

Według raportu oszustwa BEC okazały się najskuteczniejszą formą cyberprzestępczości w 2021 roku. Ofiary wyłudzeń – na podstawie niespełna 20 tysięcy zgłoszeń – zanotowały straty na poziomie 2,4 miliarda dolarów. Hakerzy wyciągają od pracowników absolutnie wszystko, czego tylko zapragną. Począwszy od danych osobowych, przez zestawienia płacowe aż pod dane portfeli kryptowalutowych. Jak więc bronić się przed atakami BEC? FBI dostarcza kilku wskazówek.

Czytaj dalej poniżej

Rosjanie sabotują sieć elektryczną Ukrainy. Atak hakerski częściowo udany Jakub Szczęsny

Największe polskie banki nie ułatwiają nam dbania o bezpieczeństwo. Taka funkcja powinna być standardem Kamil Świtalski

Jak nie dać się złapać w pułapkę BEC?

Hakerzy stosują szereg metod i technik w celu zdobycia zaufania i wyłudzenia pożądanych informacji. Według FBI poniższa profilaktyka jest w stanie znacznie obniżyć ryzyko stania się ofiarą scamu:

• Używaj dodatkowych kanałów zabezpieczających lub uwierzytelnienia dwuskładnikowego, aby zweryfikować prośby o zmiany ustawień konta
• Upewnij się, że adres mailowy jest powiązany z osobą/firmą, od której rzekomo pochodzi
• Uważaj na hiperłącza, które mogą zawierać błędy w nazwie domeny
• Nie podawaj danych do logowania i żadnych informacji osobowych w wiadomości mailowej, nawet jeśli prośba wydaje się uzasadniona
• Regularnie monitoruj konto bankowe pod kątem nieprawidłowości
• Weryfikuj adres mailowy używany do wysyłania wiadomości, zwłaszcza podczas korzystania z urządzeń mobilnych, upewniając się, że adres nadawcy na pewno jest z Tobą powiązany

Jeśli oczywiście powyższe wskazówki amerykańskich służb nie przyniosą rezultatu i padniecie ofiarą cyberprzestępstwa (nie tylko w formie BEC) to warto bez zwłoki zgłosić sprawę do odpowiednich służb. W Polsce kwestiami bezpieczeństwa w sieci zajmuje się NASK CSIRT. Jeśli jesteś ofiarą ataku hakerskiego lub masz podejrzenia co do wiarygodności danego kontrahenta, sprawę możesz zgłosić na pod tym adresem.

Stock image from Depositphotos