Στις αρχές της χρονιάς, η κομητεία Cabarrus στη Βόρεια Καρολίνα των Ηνωμένων Πολιτειών έπεσε θύμα μίας απάτης BEC, με αποτέλεσμα οι απώλειες να φτάσουν τα 1,7 εκατομμύρια δολάρια. Και δυστυχώς, αυτό είναι μόνο ένα παράδειγμα του ολοένα και περισσότερο κοινότυπου –και καταστροφικού – τύπου επίθεσης.

Στις επιθέσεις BEC (Business Email Compromise), οι κυβερνοεγκληματίες συνδυάζουν τη κοινωνική μηχανική και τις τεχνικές ηλεκτρονικού ψαρέματος για να εξαπατήσουν ανθρώπινους στόχους σε οργανισμούς πείθοντας τους να μεταφέρουν χρήματα ή δεδομένα.

Κοινές προσεγγίσεις στο συγκεκριμένο τύπο επίθεσης, συμπεριλαμβάνουν τη παραβίαση λογαριασμών ηλεκτρονικού ταχυδρομείου, το «spoofing» διευθύνσεων ηλεκτρονικού ταχυδρομείου ανώτερων στελεχών, τραπεζών ή δικηγορικών εκπροσώπων, τη παραβίαση μηνυμάτων ηλεκτρονικού ταχυδρομείου έμπιστων προμηθευτών κ.ά.

Οι επιθέσεις BEC είναι στοχευμένες και χρονοβόρες με τους κυβερνοεγκληματίες ορισμένες φορές να εργάζονται για αρκετούς μήνες μέχρι να καταφέρουν να υπονομεύσουν μία εταιρεία ή έναν οργανισμό – έχοντας βεβαίως κίνητρο τα πολύ μεγάλα κέρδη. Και τις περισσότερες φορές αυτή η επίθεση είναι αποτελεσματική. Οι επιθέσεις BEC βρίσκονται σε άνοδο τελευταία με το 53% των οργανισμών που χτυπήθηκαν από κυβερνοεπιθέσεις πέρυσι να αναφέρει ότι έπεσαν θύματα ψαρέματος ηλεκτρονικού ταχυδρομείου.

Ελαχιστοποιήστε τον κίνδυνο

Τα κέρδη των κυβερνοεγκληματιών που επιχειρούν επιθέσεις BEC αποτελούν προϊόν εκμετάλλευσης του πλέον αδύναμου κρίκου στην αλυσίδα της κυβερνοασφάλειας: τον ανθρώπινο παράγοντα. Βασίζονται λοιπόν εξολοκλήρου στο να εξαπατήσουν τους ανθρώπους, και να τους ξεγελάσουν πέφτοντας θύματα των παγιδευμένων, «spoofed» μηνυμάτων ηλεκτρονικού ταχυδρομείου τους, των πλαστών εγγράφων τους ή των ψευδών πληροφοριών τους.

Όλα, ανεξαιρέτως τα μέλη μίας ομάδας ή ενός τμήματος σε μία επιχείρηση μπορούν να αποτελούν υποψήφιους στόχους μίας επίθεσης BEC, και όχι μόνο υπάλληλοι στο οικονομικό τμήμα, στο τμήμα ανθρωπίνων πόρων ή τα ανώτερα στελέχη – αν και ενδέχεται να μην μπορούν να δώσουν έγκριση για πληρωμές, ενδέχεται να δώσουν πολύτιμες πληροφορίες στους χάκερς, που ενδέχεται να τους βοηθήσουν στον σκοπό τους, αποκτώντας πρόσβαση ακόμα και σε ευαίσθητα εταιρικά συστήματα.

Ακριβώς για αυτό το λόγο, η κατάρτιση και η εκπαίδευση των χρηστών είναι το κλειδί για την ελαχιστοποίηση του κινδύνου μίας επίθεσης BEC. Ευαισθητοποιώντας τους χρήστες/ υπαλλήλους σας πάνω στο θέμα, και εκπαιδεύοντας τις ομάδες σας στον εντοπισμό ύποπτων επικοινωνιών, μειώνεται σημαντικά την πιθανότητα να πέσετε θύματα μίας επίθεσης BEC.

Sophos μπορεί να βοηθήσει

Το Sophos Phish Threat είναι ένα εργαλείο κατάρτισης και προσομοίωσης ηλεκτρονικού «ψαρέματος» που σας επιτρέπει εύκολα και απλά να αυξήσετε την ευαισθητοποίηση των χρηστών, εξομοιώνοντας τις τακτικές ηλεκτρονικού ψαρέματος που χρησιμοποιούν πραγματικοί εισβολείς και κυβερνοεγκληματίες. Μπορείτε να ρυθμίσετε τις δοκιμαστικές εκστρατείες «phishing» μέσα σε λίγα λεπτά.

Το εργαλείο περιλαμβάνει επίσης online μαθήματα κατάρτισης για να εκπαιδεύσει τους ανθρώπους στο πως να εντοπίζουν και να σταματούν τις πραγματικές επιθέσεις. Επιπλέον, μπορείτε να αξιολογήσετε και να μετρήσετε την πρόοδο, να παρακολουθήσετε την βελτίωση και να επιδείξετε την απόδοση της επένδυσης (ROI) στην επιχείρηση. 

Δοκιμάστε το Sophos Phish Threat, δωρεάν, για 30 ημέρες

Επιπλέον, το δωρεάν anti-phishing toolkit, σας παρέχει ένα φανταστικό σύνολο πόρων για να εκπαιδεύσετε την ομάδα σας πάνω στις τεχνικές phishing. Συμπεριλαμβάνει επίσης αφίσες για την επιχείρηση σας, μία παρουσίαση Powerpoint για συναντήσεις, παραδείγματα από μηνύματα ηλεκτρονικού ψαρέματος καθώς και τις καλύτερες συμβουλές για το πώς να εντοπίζετε «ψεύτικα» email. Κατεβάστε το Sophos Phish Threat για μία δωρεάν δοκιμή σήμερα κιόλας.

nss.gr