top of page
    • Nov 21, 2022

Prevare sa plaćanjem putem e-pošte su u porastu

Tip napada se zove Business Email Compromise (BEC), ali bi ga verovatno trebalo nazvati prevara sa plaćanjem putem e-pošte (eng. email payment scam). Ovi napadi se smatraju vrstom phishing napada, iako ne uključuju nužno krađu kredencijala.

Dok se poslovni model ransomvera oslanja na primenu složenog zlonamernog koda za kriptovanje ili krađu podataka, BEC se zasniva na tradicionalnim tehnikama društvenog inženjeringa: lažno predstavljanje kolega ili poslovnih partnera kako bi se žrtve prevarile da prebace sredstva na lažne bankovne račune.

BEC message
Tipična BEC poruka. Izvor: Microsoft

FBI kaže da količina novca izgubljenog zbog prevara sa kompromitovanom poslovnom e-poštom (BEC) nastavlja da raste svake godine, sa povećanjem od 65% u identifikovanim globalno izloženim gubicima između jula 2019. i decembra 2021.

U 2021., FBI centar za izveštavanje o internet kriminalu IC3 primio je žalbe žrtava u vezi sa 19.954 BEC incidenata, sa ukupno 2,4 milijarde američkih dolara prijavljenih gubitaka.


Podaci IC3 za 2021. takođe sugerišu da su BEC incidenti mnogo češći od ransomver napada, a čini se da su finansijski gubici mnogo veći od prijavljenih u poređenju sa drugim napadima, uključujući ransomver. Naravno, gubici nakon ransomver napada nisu uvek odmah vidljivi, a kompanije verovatno ne prijavljuju procene izgubljenog posla, vremena i plata, kao ni troškove oporavka.


Uprkos tome, BEC predstavlja ozbiljan problem: nedavno istraživanje konsultantske firme Osterman pokazuje da su ovi napadi mnogo češći, sa četiri od pet organizacija koje su prijavile da su bile meta najmanje jednog BEC napada 2021. Za manje kompanije, taj broj je porastao na 9 od 10.


BEC napade je teže otkriti tradicionalnim filtriranjem e-pošte ili zaštitom od krađe identiteta. To znači da je stalna obuka o svesti o bezbednosti (SAT) ključni element u smanjenju rizika. SAT (security awareness training) obuka mora biti:

  1. Sveobuhvatna - uključujući sve zaposlene, a ne samo neke od njih.

  2. Kontinuirana, što znači da se redovno ažurira, a posebno uključuje novozaposlene

  3. Nenametljiva, odnosno ne ometa svakodnevnu produktivnost zaposlenih, kratka i efikasna

  4. Automatizovana, odnosno obezbeđuje alate za praćenje napretka: prijavljuje pokušaje phishing-a i implementira simulaciju phishing-a kako bi stekli uvid u to koliko je kompanija ranjiva.

Nažalost, SAT obuka je i dalje prilično zanemarena, često se izvodi ručno i na DIY način, bez praćenja napretka. Vreme je da se modernizuje, jer će BEC samo rasti.

Latest news

bottom of page