Sembrano innocenti. Sembrano email provenienti da un dirigente di un amministratore delegato o da un amministratore delegato a un finanziatore. In breve, le e-mail sono più di natura commerciale. Se il tuo CEO ti invia un'email chiedendo i dettagli delle tue tasse, quanto è probabile che tu gli fornisca tutti i dettagli? Pensi perché il CEO dovrebbe essere interessato ai tuoi dati fiscali? Vediamo come Compromesso di posta elettronica aziendale accade, come le persone sono prese per un giro e alcuni punti più tardi su come affrontare la minaccia.
Compromesso di posta elettronica aziendale
Le truffe di Business Email Compromise sfruttano in genere vulnerabilità in diversi client di posta elettronica e fanno apparire un'e-mail come se provenisse da un mittente fidato della propria organizzazione o partner aziendale.
Perdita prevista negli ultimi tre anni a causa di compromissione della posta elettronica aziendale
Tra il 2013 e il 2015, le aziende di 79 paesi sono state ingannate: Stati Uniti, Canada e Australia sono ai primi posti. I dati del 2015-2016 non sono ancora disponibili, ma potrebbero essere aumentati, secondo me, perché i criminali informatici sono più attivi che mai. Con cose come lo spoofing delle e-mail e il ransomware IoT, possono fare tutto il denaro che vogliono. Non includerò il ransomware in questo articolo; resteremo fedeli BEC (Compromesso di posta elettronica aziendale).
Nel caso in cui desideri sapere quanti soldi sono stati truffati dai 79 paesi nel 2013-2015, la cifra è …
$ 3,08,62,50,090
… da 22 mila case d'affari in tutti i 79 paesi! La maggior parte di questi paesi appartiene al mondo sviluppato.
Come funziona?
Abbiamo parlato dell'email spoofing in precedenza. È il metodo di manipolazione dell'indirizzo del mittente. Usando le vulnerabilità in diversi client di posta elettronica, i criminali informatici faranno sembrare che l'email provenga da un mittente fidato - qualcuno nel tuo ufficio o qualcuno dai tuoi clienti.
A parte l'uso dello spoofing delle email, i criminali informatici a volte compromettono effettivamente gli ID e-mail di persone diverse nel tuo ufficio e li usano per inviarti messaggi che sembrerebbero provenire da un'autorità e che richiedono attenzione prioritaria.
Anche l'ingegneria sociale aiuta a ottenere gli ID e-mail e quindi i dettagli aziendali e il denaro aziendale. Ad esempio, se sei un cassiere, potresti ricevere un'email dal fornitore o una chiamata che ti chiede di cambiare il metodo di pagamento e di accreditare gli importi futuri a un nuovo conto bancario (che appartiene ai criminali informatici). Dal momento che l'email sembra provenire dal fornitore, ci crederai invece di un controllo incrociato. Tali atti sono chiamati fattura sartiame o truffe fattura falsa.
Allo stesso modo, potresti ricevere una email dal tuo capo che ti chiede di inviarti i tuoi dati bancari o le informazioni della tua carta. I criminali possono citare qualsiasi motivo come se depositassero del denaro sul conto o sulla carta. Dal momento che l'email proviene o sembra provenire dal capo, non ci penserai molto e ti risponderemo al più presto possibile.
Sono stati rilevati altri casi in cui un amministratore delegato di un'azienda ti invia un'email chiedendoti i dettagli dei tuoi colleghi. L'idea è di usare l'autorità degli altri per truffare te e la tua azienda. Che cosa farai se riceverai un'email dal tuo amministratore delegato che dice che ha bisogno di alcuni fondi trasferiti su un determinato account? Non seguiresti i protocolli correlati? Allora perché il CEO li ha ignorati? Come ho detto prima, i criminali informatici usano l'autorità di qualcuno nella tua azienda per pressurizzarti a rinunciare a informazioni e denaro cruciali.
Compromesso di posta elettronica aziendale: come prevenire?
Ci dovrebbe essere un sistema che può cercare determinate parole o frasi e in base ai risultati, in grado di classificare e rimuovere le e-mail false. Ci sono alcuni sistemi che usano il metodo per deviare spam e spazzatura.
Nel caso di Business Compromise Scams o CEO Frauds, diventa difficile scansionare e identificare le e-mail false perché:
- Sono personalizzati e sembrano originali
- Sono originati da un ID e-mail fidato
Il metodo migliore per prevenire il compromesso della posta elettronica aziendale è quello di educare i dipendenti e chiedere loro di assicurarsi che i relativi protocolli vengano inoltrati. Se un cassiere vede un'e-mail dal suo capo che gli chiede di trasferire alcuni fondi su un determinato conto, la cassiera dovrebbe chiamare il capo per vedere se vuole davvero che i fondi vengano trasferiti sul conto bancario apparentemente estraneo. Effettuare una chiamata di conferma o scrivere un'e-mail in più aiuta i dipendenti a sapere se alcune cose sono effettivamente fatte o se si tratta di un'e-mail falsa.
Poiché ogni azienda ha un proprio insieme di regole, le persone interessate dovrebbero verificare se il protocollo in questione viene seguito. Ad esempio, potrebbe essere richiesto che l'amministratore delegato debba inviare una e-mail al dipartimento finanziario e al cassiere se ha bisogno di denaro. Se vedi che il CEO ha contattato direttamente la cassa e non ha inviato alcun voucher o lettera all'ufficio contabilità, è probabile che si tratti di un'e-mail falsa. O se non c'è alcuna dichiarazione sul motivo per cui l'amministratore delegato sta trasferendo denaro su qualche conto, c'è qualcosa di sbagliato. Una dichiarazione aiuta il reparto contabilità nel bilanciare i libri. Senza una tale dichiarazione, non possono creare una voce corretta nel libro mastro dell'ufficio.
Altre cose che potresti fare sono: evitare account di posta elettronica gratuiti basati sul Web e fare attenzione a ciò che viene pubblicato sui social media e sui siti web aziendali. Crea regole di sistema di rilevamento delle intrusioni che contrassegnano le e-mail con estensioni simili alla posta elettronica dell'azienda.
Pertanto, il metodo di base e più efficace per prevenire il compromesso della posta elettronica aziendale è quello di stare all'erta. Ciò si traduce nella formazione del personale in merito a possibili problemi e su come effettuare un controllo incrociato, ecc.È anche una buona pratica non discutere i dettagli aziendali con estranei che non hanno nulla a che fare con il business.
Se sei vittima di questo tipo di truffa via email, puoi presentare un reclamo a IC3.gov.
