BEC-Scam: Znaczenie i jak się chronić

Oszustwo BEC jest formą cyberprzestępczości. Jest on szczególnie wyrafinowany, ponieważ jest trudny do wykrycia przez ofiary i wymierzony zarówno w duże, średnie, jak i małe firmy.

How does a BEC scam work?

Skrót BEC oznacza Business Email Compromise, czyli kompromitację lub manipulację służbowymi e-mailami. To już jest sedno oszustwa: Oszuści przechwytują służbowe e-maile. To, co jest jednak szczególnie niebezpieczne, to wyrafinowane i przerażająco cierpliwe podejście.

• W oszustwie BEC cyberprzestępcy uzyskują dostęp do firmowego dostawcy poczty elektronicznej, a konkretnie do osoby takiej jak prezes czy szef księgowości.
• Czytają biznesowy ruch mailowy i tu już zaczyna się przebiegłe oszustwo: uczą się, jakich słów dana osoba lubi używać, jak konstruuje zdania i jakimi pozdrowieniami się żegna.
• Więc oszuści uczą się doskonale naśladować daną osobę w korespondencji. Wtedy uderzają.
• Przechwycają maile od danej osoby lub piszą maile do partnerów biznesowych w imieniu danej osoby. Maile wyglądają zwodniczo prawdziwie: Zawierają one te same logotypy co maile oficjalne i wydają się pochodzić od osoby, z którą partnerzy biznesowi i tak mają już cały czas kontakt.
• W mailach biznesowych przestępcy albo proszą o pilną płatność, albo informują partnerów, że dane konta uległy zmianie, aby samemu otrzymać przelew.
• Osoba wyłudzająca informacje nie zauważa tego na początku. Oszuści kasują wychodzące od nich maile i to oni przez większość czasu komunikują się z partnerem biznesowym.
• Dopiero gdy legalne strony wkurzają się na niezapłacone rachunki lub oskarżenia na ich temat, wychodzi na jaw, że musi być problem z bezpieczeństwem.

Jak chronić się przed cyberprzestępcami?

W 2019 roku Federalne Biuro Śledcze ujawniło informację, że firmy różnej wielkości zostały wyłudzone 26 miliardów dolarów przez oszustwa BEC. Liczba perfidnych oszustw wciąż rośnie. Ważne jest, aby chronić się przed oszustwami BEC i działać szybko w przypadku podejrzenia oszustwa.

• Zawsze stosuj 2-factor identification dla swoich kont pocztowych i bankowych. Chociaż nie uniemożliwia to uzyskania dostępu do twojego dostawcy poczty elektronicznej, bardzo niewielu cyberprzestępców ma nawet środki techniczne, aby to zrobić.
• Być może wiesz, że możesz chronić się przed phishingiem, sprawdzając pikselowane lub fałszywe logo, a także pisownię w e-mailach. Niestety, większość oszustów BEC jest zbyt inteligentna, aby popełniać takie błędy. Nigdy jednak nie zaszkodzi przyjrzeć się bliżej mailowi.
• Zawsze zwracaj baczną uwagę na adres e-mail w przypadku dużych i ważnych wezwań do zapłaty. Czy jakaś litera jest nagle wielka? Czy za adresem mailowym wisi jakieś rozszerzenie typu .ru? To wystarczający powód, aby ponownie skontaktować się z partnerem biznesowym – najlepiej przez telefon lub rozmowę z kamerą internetową
• Zmiany w danych bankowych to czerwona flaga. Zwróć szczególną uwagę na nadawcę lub zapytaj ponownie przez rozmowę telefoniczną lub połączenie internetowe, czy zmiana jest prawidłowa.
• Jeśli e-maile od partnera nagle trafiają do spamu lub otrzymujesz od dostawcy poczty elektronicznej informację o wykryciu podejrzanej aktywności, poinformuj o tym zainteresowanego partnera biznesowego i podkreśl, że oszuści są często niewidoczni dla zainteresowanych ofiar. Można zasugerować, aby sprawdzić swój rzekomy ruch w poczcie elektronicznej, ponieważ przestępcy usuwają maile, o których osoba wyłudzająca informacje nie powinna wiedzieć.
• Czy dziwisz się, że partner biznesowy twierdzi, że zapłacił, ale na Twoim koncie nic się nie dzieje? A może wykonałeś przelew, ale pieniądze nigdy nie dotarły? Są to sygnały alarmowe dla oszustwa BEC. Natychmiast skontaktuj się ze swoim bankiem i odzyskaj przelew, póki jeszcze możesz.
• Zgłoś oszustwo lub próbę oszustwa na policję.