business email compromise

Business email compromise (BEC) er en type angreb, hvor hackere bruger hackede emailkonti til at kompromittere organisationer for at få adgang til at svindle dem for store summer. En succesrig emailsvindel involverer normalt, at hackere overvåger medarbejderes mailkorrespondance over længere tid, hvilket gør dem klar til på et tidspunkt at “overtage” konti hos særlige medarbejdere, hvorefter de udgiver sig for samarbejdspartnere og får medarbejderne til at udbetale store summer til deres egne kontonumre. Denne type angreb forårsagede et tab for den norske investeringsfond Norfund på omkring 10 millioner dollars, jvfr. oplysninger fra fonden. Liviu Arsene, sikkerhedsekspert fra Bitdefender, kommer med følgende råd, som kan hjælpe finansielle institutioner med at undgå at blive ofre for denne type kriminalitet: Ikke bare skal man være meget nøjeregnende med altid at følge “best practice” inden for IT-sikkerhed, men også sikre interne procedurer, der kan forhindre sådanne transaktioner. For eksempel kunne en standard procedure være, at medarbejdere altid bekræfter mailforespørgsler om pengeoverførsler via andre kommunikationskanaler, som fx telefon eller videomøde. Telefonisk bekræftelse bør kun kunne finde sted via allerede kendte telefonnumre og ikke via numre, der er oplyst per mail, da disse også kan tilhøre hackerne. De fleste BEC (Business Email Compromise) scams kan stoppes, hvis medarbejderne har en fast og ufravigelig procedure til at gennemtjekke pengeoverførsler. Måske ser data rigtige ud, men kontonummeret er et andet. Der bør finde et dobbelttjek sted for alle former for pengeoverførsler. Der bør være to separate autoriteter, der skal godkende hver enkelt transaktion. Helst i helt forskellige afdelinger …. (læs mere her)