Business Email Compromise - Mga Kahulugan at Mga Halimbawa

Tumingin sila na walang-sala. Parang mga email ang nagmumula sa isang ehekutibo sa isang CEO o mula sa isang CEO sa isang financier. Sa madaling salita, ang mga email ay higit pa sa kalikasan ng negosyo. Kung ang iyong CEO ay nagpapadala sa iyo ng isang email na humihingi ng mga detalye ng iyong mga buwis, gaano ka malamang magbibigay sa kanya ng lahat ng mga detalye? Nagbibigay ka ba ng pag-iisip kung bakit magiging interesado ang CEO sa iyong mga detalye sa buwis? Tingnan natin kung papaano ang Business Email Compromise ang mangyayari, kung paano ang mga tao ay kinuha para sa isang pagsakay at ilang mga punto mamaya kung paano haharapin ang panganib.

Business Email Compromise

Business Email Compromise scams ang mga kahinaan sa iba`t ibang mga kliyente ng email at gumawa ng isang e-mail na tumingin tulad ng kung ito ay mula sa isang pinagkakatiwalaang nagpadala mula sa iyong organisasyon o kasosyo sa negosyo.

Tinatayang Pagkawala sa loob ng nakaraang tatlong taon dahil sa Business Email Compromise

Sa pagitan ng 2013 at 2015, ang mga negosyo sa 79 na mga bansa ang na-duped - nasa itaas ang US, Canada at Australia. Ang data ng 2015 hanggang 2016 ay wala pa ngunit maaaring nadagdagan, sa palagay ko - dahil ang cyber criminals ay mas aktibo kaysa kailanman. Sa mga bagay tulad ng email spoofing at IoT ransomware, maaari silang gumawa ng mas maraming pera hangga`t gusto nila. Hindi ko sasaklawin ang ransomware sa artikulong ito; ay mananatili lamang sa BEC (Business Email Compromise).

Kung sakaling nais mong malaman kung magkano ang pera ay swicked mula sa 79 mga bansa sa panahon ng 2013 sa 2015, figure ay …

$ 3, 08,62,50,090

… mula sa 22 libong mga bahay ng negosyo sa buong 79 na bansa! Ang karamihan sa mga bansang ito ay nabibilang sa binuo mundo.

Paano ito gumagana?

Kami ay nagsalita tungkol sa email spoofing mas maaga. Ito ang paraan ng pag-rigging ng address ng nagpadala. Ang paggamit ng mga kahinaan sa iba`t ibang mga kliyente ng email, ang mga cyber criminals ay titingnan na parang ang email ay mula sa isang pinagkakatiwalaang nagpadala - isang tao sa iyong opisina o isang tao mula sa iyong mga kliyente.

Bukod sa paggamit ng spoofing sa email, ang mga cybercriminals minsan ay talagang nakompromiso ang email Mga ID ng iba`t ibang tao sa iyong opisina at gamitin ang mga ito upang padalhan ka ng mail na mukhang ito ay nagmumula sa isang awtoridad at na kailangan nito ng pansin ng pansin.

Social engineering masyadong, tumutulong sa pagkuha ng mga email ID at pagkatapos, mga detalye ng negosyo at pera ng negosyo. Halimbawa, kung ikaw ay isang cashier, maaari kang makatanggap ng isang email mula sa supplier o isang tawag na humihiling sa iyo na baguhin ang paraan ng pagbabayad at i-credit ang mga hinaharap na halaga sa isang bagong bank account (na kabilang sa mga cybercriminal). Dahil ang email ay mukhang nagmumula ito mula sa tagapagtustos, naniniwala ka na sa halip na i-check ang cross. Ang mga naturang kilos ay tinatawag na invoice rigging o false scam invoice .

Gayundin, maaari kang makakuha ng isang email mula sa iyong amo na humihiling sa iyo na ipadala sa kanya ang iyong mga detalye sa bangko o impormasyon ng card. Maaaring banggitin ng mga kriminal ang anumang kadahilanan na gusto nilang mag-deposito ng ilang cash sa iyong account o card. Dahil ang e-mail ay nagmumula o nagmumukhang nagmumula sa boss, hindi mo ito bigyan ng pag-iisip at tutugon ito sa lalong madaling panahon.

Ang ibang mga kaso ay napansin kung saan ang isang CEO ng isang kumpanya ay nagpapadala sa iyo ng isang email hinihiling sa iyo ang mga detalye ng iyong mga kasamahan. Ang ideya ay gamitin ang awtoridad ng iba upang scam sa iyo at sa iyong negosyo. Ano ang gagawin mo kung nakatanggap ka ng isang email mula sa iyong CEO na nagsasabing kailangan niya ng ilang pondo na inilipat sa isang partikular na account? Hindi mo ba dapat sundin ang kaugnay na mga protocol? Kung gayon, bakit nilimot ng CEO ang mga ito? Tulad ng sinabi ko ng mas maaga, ginagamit ng mga cybercriminal ang awtoridad ng isang tao sa iyong negosyo upang itulak ka sa pagbibigay ng napakahalagang impormasyon at pera.

Business Email Compromise: Paano maiwasan?

Dapat mayroong isang sistema na maaaring tumingin para sa ilang mga salita o mga parirala at batay sa mga resulta, maaaring mag-uri-uriin at alisin ang mga maling email. Mayroong ilang mga sistema na gumagamit ng paraan upang ilihis ang spam at junk.

Sa kaso ng Business Compromise Scams o CEO Frauds, ito ay magiging mahirap i-scan at kilalanin ang mga pekeng email dahil:

1. Sila ay isinapersonal at tumingin orihinal
2. Sila ay nagmula sa isang pinagkakatiwalaang email ID

Ang pinakamahusay na paraan upang mapigilan Ang kompromiso ng email sa negosyo ay upang turuan ang mga empleyado at hilingin sa kanila na tiyakin na ang mga nauugnay na mga protocol ay ipapasa. Kung ang isang cashier ay nakikita ang isang email mula sa kanyang boss na nagtatanong sa kanya na maglipat ng ilang mga pondo sa isang partikular na account, dapat tawagan ng cashier ang boss upang makita kung talagang nais niyang ilipat ang mga pondo sa tila alien bank account. Ang paggawa ng kumpirmasyon na tawag o pagsulat ng dagdag na tulong sa email ang mga empleyado sa pag-alam kung ang ilang mga bagay ay talagang tapos na o kung ito ay isang pekeng email.

Dahil ang bawat negosyo ay may sariling hanay ng mga patakaran, ang mga taong nababahala ay dapat suriin kung ang Ang may-katuturang protocol ay sinusunod. Halimbawa, maaaring kailanganin ng CEO na magpadala ng email sa parehong kagawaran ng pinansya at cashier kung nangangailangan siya ng pera. Kung nakita mo na ang CEO ay direktang nakipag-ugnay sa cashier at hindi nagpadala ng anumang voucher o sulat sa departamento ng accounting, malamang na mataas na ito ay isang pekeng email. O kung walang pahayag kung bakit ang CEO ay naglilipat ng pera sa ilang account, may mali. Ang isang pahayag ay tumutulong sa departamento ng accounting sa pagbabalanse ng mga libro. Kung walang pahayag na ito, hindi sila maaaring gumawa ng wastong entry sa office ledger.

Iba pang mga bagay na maaari mong gawin ay - Iwasan ang mga web-based e-mail account, at mag-ingat kung ano ang nai-post sa mga social media at mga website ng kumpanya. Lumikha ng mga tuntunin sa sistema ng pagtuklas ng panghihimasok na nag-flag ng mga e-mail na may mga extension na katulad ng e-mail ng kumpanya.

Kaya, ang pangunahing at pinaka-epektibong paraan upang maiwasan ang kompromiso ng email sa negosyo ay upang manatiling alerto. Ito ay sinasalin sa educating staff tungkol sa mga posibleng problema at kung paano i-cross check atbp Ito ay isang mahusay na kasanayan hindi tinatalakay ang mga detalye ng negosyo sa mga estranghero na walang kinalaman sa negosyo.

Kung ikaw ay isang biktima ng ganitong uri om email scam maaaring gusto mong magsampa ng reklamo sa IC3.gov.