Business Email Compromise (BEC), även känt som CEO-bedrägeri, är en typ av phishing-attack där en cyberkriminell utger sig för att vara en högt uppsatt chef för att övertyga en anställd, kund eller säljare att överföra pengar till ett falskt konto eller lämna ut känslig information.
Genom att kompromettera officiella e-postkonton kan brottslingarna övervaka onlineaktiviteten och avgöra vem som har behörighet att initiera penningöverföringar. I de flesta fall utger sig angriparna för att vara vd, ekonomichef eller någon annan chef på hög nivå, och de kombinerar vanligtvis en rad olika tekniker för social ingenjörskonst för att manipulera användaren till handling.
Under de senaste åren har antalet Business Email Compromise-attacker ökat kraftigt, och enligt den senaste riskbedömningsrapporten för e-postsäkerhet från e-posthanteringsföretaget Mimecast har BEC-attacker ökat med 80 % bara under det senaste kvartalet.
De globala förlusterna till följd av Business Email Compromise har överstigit 12,5 miljarder dollar, och offren kan drabbas av stora förluster, vilket har visat sig i ett antal nyligen genomförda högprofilerade attacker.
I mars 2018 blev den franska biografkedjan Pathé offer för en sofistikerad bluff med Business Email Compromise som kostade dem över 19 miljoner euro.
Den djärva kuppen genomfördes genom att bedragare utgav sig för att vara VD och övertygade den verkställande direktören och ekonomichefen på varumärkets nederländska kontor att överföra pengarna under fem på varandra följande penningöverföringar.
Trots att misstankarna väcktes lyckades brottslingarna få sin bluff att verka så övertygande som möjligt genom att skapa e-postmeddelanden som var nästan identiska med den officiella Pathé-domänen. Företaget förlorade 10 % av sina totala intäkter och båda cheferna fick sparken från sina jobb.
Attacken visade hur detaljerade cyberkriminella är för att infiltrera ett företag och vilka långtgående konsekvenser en BEC-attack kan få för ett företag.
Hur en bluff med en Business Email Compromise-affär fungerar
Till skillnad från traditionella phishing-attacker som tenderar att rikta sig mot ett stort antal anställda är BEC-attacker mycket fokuserade och målinriktade. Kriminella ägnar mycket tid åt att undersöka personer på höga positioner inom företaget innan de inleder en attack.
För att få korrespondensen att verka så övertygande som möjligt går bedragarna igenom företagswebbplatser, onlinekällor och sociala medier som LinkedIn för att samla in så mycket information som möjligt om sitt potentiella offer.
Så snart de har avslutat sin forskning använder de en målinriktad teknik som Spear Phishing för att få tillgång till företagets system. När de väl har fått tillgång till systemet kan de kriminella noga observera hur finansiella transaktioner genomförs innan de inleder en attack.
Brottslingen skickar sedan ett falskt e-postmeddelande från vad som ser ut att vara VD:n och ber om en brådskande överföring av pengar från en anställd inom organisationen. Den höga målgruppen gör att e-postmeddelandet kan passera genom skräppostfiltren, och användningen av en förfalskad e-postadress ger begäran ytterligare legitimitet.
Detaljerna är så detaljerade att brottslingarna ofta väljer att inleda attacken när den högre chefen är på affärsresa och inte personligen kan verifiera begäran. Om offret har fallit för bedrägeriet kommer alla pengar som de har överfört snabbt att skickas till konton i utlandet, vilket gör det svårt att någonsin kräva tillbaka de stulna pengarna.
Olika typer av bedrägerier som rör företags e-post
CEO-bedrägeri - I den här typen av angrepp utger sig cyberkriminella för att vara VD eller en annan högt uppsatt chef. När deras konto har hackats och deras e-postadress har förfalskats skickar de ett e-postmeddelande till en anställd där de ber om en överföring av pengar till ett konto som de särskilt har inrättat. E-postmeddelandena är ofta markerade som brådskande för att avskräcka den anställde från att verifiera begäran eller diskutera den med en annan anställd.
Systemet med falska fakturor - Denna typ av bedrägeri används ofta mot företag som använder många utländska leverantörer. Företaget får ett e-postmeddelande från vad som ser ut att vara en av deras nuvarande leverantörer och ber dem att ändra betalningsdestinationen. Alla betalningar kommer sedan att överföras direkt till bedragarens konto.
Kontokompromiss - Den här typen av angrepp tenderar att vara vanligare bland mindre företag där fakturering hanteras direkt via e-post. Cyberkriminella hackar en anställds e-postkonto och fångar upp alla e-postmeddelanden som innehåller en faktura. När de väl har valt sitt mål kontaktar de säljaren och informerar honom om att det var problem med betalningen och ber honom skicka den vidare till ett annat bedrägligt konto som de har inrättat.
Advokat/advokatutbildningar - I denna typ av bedrägeri utger sig brottslingar för att utge sig för att vara en advokatbyrå i ett företag och begära en brådskande överföring av pengar för att hantera en rättslig tvist eller en obetald räkning. Den anställde får veta att ärendet är strängt konfidentiellt för att minska risken för att han eller hon diskuterar begäran med någon annan. Attackerna sker ofta i slutet av arbetsveckan för att skapa extra press på den anställde att agera snabbt.
Datastöld - Detta är den enda BEC-bedrägeri som inte kräver en direkt banköverföring. Datastöldattacker inträffar när en cyberkriminell inkräktar på en högre chefs e-postkonto och begär att känslig företagsinformation ska skickas till honom eller henne. Dessa typer av attacker tenderar att rikta sig mot personal- och ekonomiavdelningar och är ofta föregångaren till en större och mer skadlig cyberattack.
Varningstecken på en attack mot en företags e-postkompromiss
- Stor överföring av pengar till en mottagare som företaget aldrig tidigare har haft kontakt med.
- Överföringar som påbörjas i slutet av dagen/arbetsveckan.
- E-postmeddelanden som innehåller brådskande språk och är hemlighetsfulla till sin natur.
- Små ändringar av en e-postadress som efterliknar en legitim företagsadress.
- Mottagarkontot har inte tidigare tagit emot stora penningöverföringar.
- Mottagarkontot är ett personligt konto i stället för ett registrerat företagskonto.
Hur man förhindrar angrepp på företags e-postkompromisser
- Utbildning i säkerhetsmedvetenhet är ett av de mest effektiva verktygen för att bekämpa BEC-attacker. Regelbunden utbildning garanterar att personalen kan känna igen skadliga e-postmeddelanden, social engineering-taktik, identifiera misstänkta förfrågningar och följa rätt protokoll för att hantera penningöverföringar.
- Utbildning för chefer på C-nivå - Det är också viktigt att chefer på C-nivå får rollspecifik utbildning som tar upp de unika hot som de möter dagligen.
- Medarbetarna bör ifrågasätta och kontrollera alla konfidentiella förfrågningar, särskilt sådana som anses brådskande av VD eller andra högre chefer inom företaget.
- Minimera antalet anställda som har befogenhet att överföra medel.
- Använd flerfaktorsautentisering på alla e-postkonton.
- Införa en verifieringsprocess i två steg för alla betalningar som omfattar en kontroll som inte sker via e-post, t.ex. en telefonisk eller muntlig verifiering.
- Utarbeta skriftliga förfaranden för godkännande av alla finansiella transaktioner.
- Skicka all e-post via en krypterad server.
- Publicera inte känslig information på företagets webbplatser eller i sociala medier.
- Överväg att använda en e-postbanner som meddelar de anställda om ett e-postmeddelande kommer från en extern källa.
Anställda utgör det största hotet mot en organisations säkerhet, så det är viktigt att de har den kompetens som krävs för att förhindra en cyberattack. MetaLearning Fusion är nästa generations eLearning och har utformats särskilt för att ge din personal bästa möjliga utbildning i cybersäkerhet och integritet. Organisationer kan bygga skräddarsydda kurser för sin personal från ett omfattande bibliotek av korta eLearning-kurser. Kontakta oss för mer information om hur MetaLearning kan användas för att förändra cybersäkerhetsutbildningen inom din organisation.