Business Email Compromise (BEC), også kendt som CEO-svindel, er en type phishing-angreb, hvor en cyberkriminel udgiver sig for at være en højtstående leder for at overbevise en medarbejder, kunde eller sælger om at overføre penge til en bedragerisk konto eller videregive følsomme oplysninger.
Ved at kompromittere officielle e-mail-konti kan de kriminelle overvåge onlineaktivitet og finde ud af, hvem der har adgangsoplysningerne til at iværksætte pengeoverførsler. I de fleste tilfælde udgiver angriberne sig for at være CEO, CFO eller en anden C-Level Executive, og de kombinerer typisk en række social engineering-teknikker for at manipulere brugeren til at handle.
I de seneste år har der været en kraftig stigning i antallet af Business Email Compromise-angreb, og ifølge den seneste rapport om risikovurdering af e-mailsikkerhed fra e-mailadministrationsfirmaet Mimecast er BEC-angreb steget med 80 % alene i det sidste kvartal.
De globale tab som følge af Business Email Compromise har oversteget 12,5 milliarder dollars, og ofrene kan lide betydelige tab, hvilket har været tydeligt i en række nylige højt profilerede angreb.
I marts 2018 blev den franske biografkæde Pathé offer for et sofistikeret svindelnummer med Business Email Compromise, som kostede dem over 19 millioner euro.
Det dristige røveri blev gennemført, da svindlere udgav sig for at være CEO og overbeviste den administrerende direktør og økonomidirektøren for brandets nederlandske kontor om at overføre pengene over en række af fem på hinanden følgende pengeoverførsler.
På trods af mistanken lykkedes det de kriminelle at få deres svindelnummer til at virke så overbevisende som muligt ved at skabe e-mails, der var næsten identiske med det officielle Pathé-domæne. Virksomheden mistede 10 % af sin samlede indtjening, og begge chefer blev fyret fra deres job.
Angrebet viste, hvor omhyggelige cyberkriminelle er med at infiltrere en virksomhed, og hvilke vidtrækkende konsekvenser et BEC-angreb kan have for en virksomhed.
Sådan fungerer et svindelnummer i forbindelse med kompromiserende virksomhedse-mail
I modsætning til traditionelle phishing-angreb, der har tendens til at ramme et stort antal medarbejdere, er BEC-angreb meget fokuserede og målrettede. Kriminelle bruger meget tid på at undersøge personer i højtstående stillinger i virksomheden, før de iværksætter et angreb.
For at få korrespondancen til at virke så overbevisende som muligt, gennemtrawler svindlerne virksomhedens websteder, onlinekilder og sociale medier som LinkedIn for at indsamle så mange oplysninger som muligt om deres potentielle offer.
Så snart de har afsluttet deres research, bruger de en målrettet teknik som f.eks. Spear Phishing til at få adgang til virksomhedens systemer. Når de har fået adgang, kan de kriminelle nøje observere, hvordan finansielle transaktioner gennemføres, inden de iværksætter et angreb.
Den kriminelle sender derefter en falsk e-mail fra noget, der ser ud til at være den administrerende direktør, og beder om en hurtig overførsel af penge fra en medarbejder i organisationen. Den høje målretning hjælper e-mailen med at slippe igennem spamfiltre, og brugen af en forfalsket e-mailadresse gør anmodningen yderligere legitim.
Detaljeringsgraden er så høj, at de kriminelle ofte vælger at iværksætte deres angreb, når den øverste leder er på forretningsrejse og ikke selv kan bekræfte anmodningen. Hvis offeret er faldet for svindlen, vil alle penge, som de har overført, hurtigt blive sendt til konti i udlandet, hvilket gør det vanskeligt at kræve de stjålne penge tilbage.
Typer af svindel med virksomheders e-mail
CEO-svindel - I denne type angreb udgiver cyberkriminelle sig for at være den administrerende direktør eller en anden højtstående leder på højt niveau. Når deres konto er blevet hacket, og deres e-mailadresse er blevet forfalsket, sender de en e-mail til en medarbejder og beder om overførsel af penge til en konto, som de specifikt har oprettet. E-mails vil ofte blive markeret som hasteforsendelser for at afskrække medarbejderen fra at bekræfte anmodningen eller drøfte den med en anden medarbejder.
Falske fakturaer - Denne form for svindel bruges ofte mod virksomheder, der bruger mange udenlandske leverandører. Virksomheden modtager en e-mail fra en af deres nuværende leverandører, som ser ud til at være en af dem, og beder dem om at ændre betalingsdestinationen. Alle betalinger vil derefter blive overført direkte til svindlernes konto.
Kontokompromittering - Denne type angreb er mere almindeligt forekommende i mindre virksomheder, hvor fakturering håndteres direkte via e-mail. De cyberkriminelle hacker en medarbejders e-mail-konto og opsnapper alle e-mails, der indeholder en faktura. Når de har valgt deres mål, kontakter de leverandøren og informerer ham om, at der var et problem med betalingen, og beder ham sende den videre til en anden bedragerisk konto, som de har oprettet.
Advokat/advokatudtryk - I denne form for svindel udgiver kriminelle sig for at være et advokatfirma og anmoder om hurtig overførsel af penge for at løse en retstvist eller en ubetalt regning. Medarbejderen får at vide, at sagen er strengt fortrolig for at mindske risikoen for, at han/hun drøfter anmodningen med andre. Angrebene finder ofte sted i slutningen af arbejdsugen for at skabe ekstra pres på medarbejderen for at få ham til at handle hurtigt.
Datatyveri - Dette er den eneste BEC-svindel, der ikke kræver en direkte bankoverførsel. Datatyveriangreb opstår, når en cyberkriminel trænger ind på en ledende leders e-mail-konto og anmoder om at få tilsendt følsomme virksomhedsoplysninger. Disse typer angreb har tendens til at være rettet mod HR- og finansafdelinger og er ofte forløberen for et større og mere skadeligt cyberangreb.
Advarselstegn på et angreb på en virksomheds e-mailkompromittering
- Overførsel af store beløb til en modtager, som virksomheden aldrig tidligere har haft med at gøre.
- Overførsler, der iværksættes mod slutningen af dagen/arbejdsugen.
- E-mails, der indeholder presserende sprog og er hemmelighedsfulde af natur.
- Små ændringer i en e-mailadresse, der efterligner en legitim virksomhedsadresse.
- Modtagerkontoen har ikke tidligere modtaget store pengeoverførsler.
- Modtagerkontoen er en personlig konto i stedet for en registreret erhvervskonto.
Sådan forebygger du angreb på virksomheders e-mail
- Uddannelse i sikkerhedsbevidsthed er et af de mest effektive værktøjer til at bekæmpe BEC-angreb. Regelmæssig træning sikrer, at personalet kan genkende ondsindede e-mails, social engineering-taktik, identificere mistænkelige anmodninger og følge de korrekte protokoller for håndtering af pengeoverførsler.
- Uddannelse for ledere på C-niveau - Det er også vigtigt, at ledere på C-niveau får en rollespecifik uddannelse, der tager højde for de unikke trusler, de står over for i hverdagen.
- Medarbejderne bør stille spørgsmål og kontrollere alle fortrolige anmodninger, især dem, der anses for at være hastende af den administrerende direktør eller andre ledende medarbejdere i virksomheden.
- Minimer antallet af medarbejdere, der har beføjelse til at overføre midler.
- Brug multifaktorgodkendelse på alle e-mail-konti.
- Indføre en totrinsbekræftelsesproces for alle betalinger, som omfatter en kontrol uden for e-mail, f.eks. telefonisk eller mundtlig bekræftelse.
- Udarbejde skriftlige procedurer for godkendelse af alle finansielle transaktioner.
- Send alle e-mails via en krypteret server.
- Du må ikke lægge følsomme oplysninger ud på virksomhedens websteder eller på sociale medier.
- Overvej at bruge et e-mail-banner, der informerer medarbejderne om, at en e-mail kommer fra en ekstern kilde.
Medarbejderne udgør den største trussel mod en organisations sikkerhed, så det er vigtigt, at de er udstyret med de nødvendige færdigheder til at forhindre et cyberangreb. MetaLearning Fusion er den næste generation af eLearning, og den er specielt designet til at give dine medarbejdere den bedst mulige uddannelse i cybersikkerhed og privatlivets fred. Organisationer kan opbygge skræddersyede kurser til deres personale fra et omfattende bibliotek af korte eLearning-kurser. Kontakt os for at få yderligere oplysninger om, hvordan MetaLearning kan bruges til at ændre Cyber Security-uddannelsen i din organisation.