Business email compromise (BEC) er en type angreb, hvor hackere bruger hackede emailkonti til at kompromittere organisationer for at få adgang til at svindle dem for store summer.
En succesrig emailsvindel involverer normalt, at hackere overvåger medarbejderes mailkorrespondance over længere tid, hvilket gør dem klar til på et tidspunkt at “overtage” konti hos særlige medarbejdere, hvorefter de udgiver sig for samarbejdspartnere og får medarbejderne til at udbetale store summer til deres egne kontonumre.
Denne type angreb forårsagede et tab for den norske investeringsfond Norfund på omkring 10 millioner dollars, jvfr. oplysninger fra fonden.
Liviu Arsene, sikkerhedsekspert fra Bitdefender, kommer med følgende råd, som kan hjælpe finansielle institutioner med at undgå at blive ofre for denne type kriminalitet:
- Ikke bare skal man være meget nøjeregnende med altid at følge “best practice” inden for IT-sikkerhed, men også sikre interne procedurer, der kan forhindre sådanne transaktioner. For eksempel kunne en standard procedure være, at medarbejdere altid bekræfter mailforespørgsler om pengeoverførsler via andre kommunikationskanaler, som fx telefon eller videomøde. Telefonisk bekræftelse bør kun kunne finde sted via allerede kendte telefonnumre og ikke via numre, der er oplyst per mail, da disse også kan tilhøre hackerne.
- De fleste BEC (Business Email Compromise) scams kan stoppes, hvis medarbejderne har en fast og ufravigelig procedure til at gennemtjekke pengeoverførsler. Måske ser data rigtige ud, men kontonummeret er et andet. Der bør finde et dobbelttjek sted for alle former for pengeoverførsler.
- Der bør være to separate autoriteter, der skal godkende hver enkelt transaktion. Helst i helt forskellige afdelinger eller dele af virksomheden og måske med forskellige former for autencitetstjek. Dette reducerer risikoen, som altid er til stede, når man kun har én enkelt instans, der skal godkende overførsler.
- Fler-faktor autentifikation for mailsystemer bør være standard, da det i reglen er via kompromitterede mailsystemer, at hackerne tiltager sig adgang. Selvom det er irriterende, er det også effektivt, at organisationens IT-afdeling sørger for, at alle medarbejdere skifter deres password hver 2. eller 3. måned.
- Endelig er det vigtigt at lære medarbejderne tricks til at genkende mulige svindel-mails og rapportere ethvert tvivlstilfælde til IT- og sikkerhedsafdelingen. Dette kan hjælpe IT-afdelingen med bedre at forstå, hvilke typer af trusler, organisationen potentielt står over for og sætte filtre på plads, som forhåbentlig kan blokere fremtidige lignende angrebsforsøg. De ansatte skal vedvarende trænes i at genkende alle former for svindel, ligesom pengeoverførselsprocedurer skal gennemgås med jævne mellemrum. Hver enkelt medarbejder skal føle et medansvar for at sikre, at organisationen ikke bliver bedraget.
Ifølge FBI udgjorde kompromittering af business-email halvdelen af tabene ved cyber-kriminalitet i 2019 med et gennemsnitligt tab på 500.000 kr. per angreb. Selvfølgelig er det begrædeligt at fonden har mistet 10 millioner dollars, men det er langt fra en enestående begivenhed og beviser bare, at cyberkriminelle er blevet exceptionelt dygtige, både til at infiltrere organisationer, men også til at skrive mails, forfalske dokumenter og styre en hel kommunikationsproces.
Liviu Arsene
Læs mere om svindlen i Norge på businessinsights.bitdefender.com