Prevare s plaćanjem putem e-pošte su u porastu
Ovaj tip napada se zove Business Email Compromise (BEC), ali bi ga vjerovatno trebalo nazvati prevara s plaćanjem putem e-pošte (eng. email payment scam). Ovi napadi se smatraju vrstom phishing napada, iako ne uključuju nužno krađu kredencijala.
Dok se poslovni model ransomwarea oslanja na primjenu složenog zlonamjernog koda za kriptovanje ili krađu podataka, BEC se temelji na tradicionalnim tehnikama društvenog inženjeringa: lažno predstavljanje kolega ili poslovnih partnera kako bi se žrtve prevarile da prebace sredstva na lažne bankovne račune.
FBI kaže da količina novca izgubljenog zbog prevara s kompromitovanom poslovnom e-poštom (BEC) nastavlja rasti svake godine, uz povećanje identificiranih globalno izloženih gubitaka od 65% između jula 2019. i decembra 2021.
U 2021., FBI Internet Crime Reporting Center IC3 je primio žalbe žrtava u vezi sa 19.954 BEC incidenata, s ukupno prijavljenim gubicima od 2,4 milijarde USD.
Podaci IC3 za 2021. također sugeriraju da su BEC incidenti mnogo češći od ransomware napada, a čini se da su finansijski gubici mnogo veći od prijavljenih u poređenju s drugim napadima, uključujući ransomware. Naravno, gubici nakon ransomware napada nisu uvijek odmah vidljivi, a kompanije vjerovatno ne prijavljuju procjene izgubljenog posla, vremena i plata, kao ni troškove oporavka.
Uprkos tome, BEC predstavlja ozbiljan problem: nedavno istraživanje konsultantske firme Osterman pokazuje da su ovi napadi sve češći, pri čemu četiri od pet organizacija izvještavaju da su bili meta najmanje jednog BEC napada 2021. Za manje kompanije, taj broj je porastao na 9 od 10.
BEC napade je teže otkriti tradicionalnim filtriranjem e-pošte ili zaštitom od krađe identiteta (antiphishing). To znači da je stalna obuka za podizanje svijesti o sigurnosti (SAT) ključni element u smanjenju rizika. SAT (security awareness training) treninzi moraju biti:
Sveobuhvatni - uključujući sve zaposlene, a ne samo neke od njih.
Kontinuirani, što znači da se sadržaj treninga redovno ažurira, a treninzi posebno uključuju novozaposlene.
Nenametljivi, odnosno ne ometaju svakodnevnu produktivnost zaposlenih, tj. kratki i efikasni.
Automatizirani, odnosno pružaju alate za praćenje napretka: omogućuju prijave pokušaja phishinga i implementiraju simulaciju phishinga kako bi kompanija stekla uvid u to koliko je ranjiva.
Nažalost, SAT treninzi su još uvijek prilično zanemareni, a često se izvode ručno i na DIY način, bez praćenja napretka. Vrijeme je da ga modernizujemo, jer će BEC napadi samo rasti.
