Prijevare s plaćanjem putem e-pošte ubrzano rastu
Vrsta napada naziva se Business Email Compromise (BEC), ali bi se vjerojatno trebala zvati prijevara s plaćanjem putem e-pošte (eng. email payment scam). Ovi se napadi smatraju vrstom phishing napada, iako ne uključuju nužno krađu vjerodajnica.
Dok se poslovni model ransomwarea oslanja na implementaciju složenog zlonamjernog koda za šifriranje ili krađu podataka, BEC se temelji na tradicionalnim tehnikama društvenog inženjeringa: lažno predstavljanje kolega ili poslovnih partnera kako bi se žrtve natjerale da izvrše prijenos sredstava na lažne bankovne račune.
FBI kaže da iznos novca izgubljen zbog prijevara s kompromitiranom poslovnom e-poštom (BEC) nastavlja rasti svake godine, s povećanjem od 65% u identificiranim globalno izloženim gubicima između srpnja 2019. i prosinca 2021.
Godine 2021. FBI Internet Crime Reporting Center IC3 je primio pritužbe žrtava u vezi s 19.954 BEC incidenta, s ukupno otkrivenim gubitkom od 2,4 milijarde američkih dolara.
IC3 podaci za 2021. također sugeriraju da su BEC incidenti mnogo češći od ransomware napada, a čini se da su financijski gubici puno veći od onoga što se prijavljuje u odnosu na druge napade, uključujući ransomware. Naravno, gubici nakon ransomware napada nisu uvijek vidljivi odmah, a tvrtke vjerojatno ne prijavljuju procjene gubitka posla, vremena i plaća, kao ni troškove oporavka.
Unatoč tome, BEC je ozbiljan problem: nedavno istraživanje koje je provela konzultantska tvrtka Osterman pokazuje da su ti napadi mnogo češći, pri čemu su četiri od pet organizacija izvijestile da su bile na meti barem jednog BEC napada u 2021. Za manje tvrtke, taj broj je porastao na 9 od 10.
BEC napade je teže uočiti uz tradicionalno filtriranje e-pošte ili zaštitu od krađe identiteta. To znači da je stalna obuka za podizanje svijesti o sigurnosti (SAT) ključni element za ublažavanje rizika. SAT (security awareness training) treninzi moraju biti:
Sveobuhvatni - uključujući sve zaposlenike, a ne samo dio njih.
Kontinuirani, što znači da se redovito ažuriraju, a posebno uključuju novozaposlene zaposlenike
Nenametljivi, tj. ne ometaju svakodnevnu produktivnost zaposlenika, kratki i učinkoviti
Automatizirani, tj. pružaju alate za praćenje napretka: izvještavaju o pokušajima krađe identiteta i implementiraju simulaciju krađe identiteta kako bi dobili uvid u to koliko je tvrtka ranjiva.
Nažalost, SAT treninzi su još uvijek prilično zanemareni, često se izvode ručno i na način „uradi sam“, bez praćenja napretka. Vrijeme je da to moderniziramo, jer će BEC samo rasti.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_305,h_305,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
