E havi KiberKedd tippünkben szeretnénk felhívni a figyelmet egy különösen veszélyes célzott adathalász támadásra, a business e-mail kompromittálásával történő csalásokra (angolul BEC – business e-mail compromise). Ennek során a támadók különböző módszereket kihasználva felsővezetőknek, munkatársaknak, üzleti partnereknek, beszállítóknak adják ki magukat, pénzt vagy érzékeny adatokat csalva ki a gyanútlan áldozatoktól különböző social engineering módszereket használva.
A leggyakoribb célpontok:
• Felsővezetők, mivel döntési jogkörrel és befolyással rendelkeznek;
• Pénzügyi osztály munkatársai, akik számlák kezelésével és utalások indításával foglalkoznak;
• HR szakemberek, mivel hozzáférésük van a dolgozók személyes adataihoz;
• Újonnan csatlakozott kollégák, akik még nem ismerik teljeskörűen a belső folyamatokat ezáltal könnyebben megtéveszthetők.
Milyen típusai vannak a business e-mail compromise típusú csalásoknak?
Számlacsalás (invoice fraud)
A csalók a vállalat partnereinek vagy beszállítóinak szerepében lépnek fel, és az eredetivel szinte teljesen megegyező számlákat állítanak ki. Ezek befizetése után az összeg valójában az ő számlájukra kerül.
Vezérigazgatói csalás (CEO fraud)
Ebben a csalástípusban a támadók felsővezetőnek álcázva magukat – jellemzően e-mailen keresztül – utasítást küldenek egy munkavállalónak. Az üzenetek gyakran sürgető, nyomásgyakorló hangvételűek, és céljuk pénzügyi tranzakciók indíttatása vagy bizalmas adatok megszerzése.
Vállalati e-mail fiók kompromittálása
A támadók ténylegesen hozzáférést szereznek egy vállalati e-mail fiókhoz – például adathalászat, jelszólopás vagy más módszer révén. A megszerzett fiókot ezután legitimnek tűnő, belső vagy külső kommunikációra használják: például hamis számlák küldésére, adatkérésre vagy pénzügyi tranzakciók kezdeményezésére. Mivel a levelezés valódi címről érkezik, a címzettek gyakran nem gyanakodnak csalásra.
Ügyvédek megszemélyesítése (attorney/lawyer impersonation)
A támadók jogi képviselőnek adják ki magukat – gyakran egy ismert partner ügyvédjének nevében , és így próbálnak érzékeny adatokhoz hozzáférni. A módszer azért hatékony, mert a jogi ügyekben való levelezés során nem szokatlan a bizalmas információk kérése, ezért az ilyen megkeresések kevésbé keltenek gyanút.
Hogyan védekezhetünk a BEC típusú csalások ellen?
Ha az e-mail címe szokatlan, ismeretlen, vagy csak apró eltérést mutat a megszokott formától (pl. „o” szó helyett „0” karakter szerepel, „i” helyett „l”), legyünk gyanakvók! A vezetők nem adnak utasítást külső vagy szokatlan e-mail címekről, különösen nem olyan ügyekben, amelyek pénzügyi tranzakciót vagy érzékeny adatok kezelését érintik.
(Példa homográf támadásra. Az eredeti „ceo” előtag az e-mailben megváltozott, az „o”-t alig észrevehetően egy „0” cserélte fel, amely már önmagában gyanús! Az üzenet szövegében gyakran az érzelmi manipuláció is, amellyel a támadók sürgetik az alkalmazottat, hogy gondolkodás nélkül cselekedjen.)
Amennyiben a vezetőtől szokatlan stílusú, sürgető vagy pénzügyi tranzakcióra irányuló kérés érkezik, mindenképp ellenőrizzük a kérés valódiságát egy megbízható, független csatornán keresztül (például telefonon). Ne használjuk a levélben megadott elérhetőségeket, hiszen ezek is a csalókhoz köthetők lehetnek – maradjunk a megszokott, megbízható elérhetőségeknél.
A mesterséges intelligencia fejlődésével a támadók képesek nyelvtanilag hibátlan, hivatalos hangvételű e-maileket készíteni, így a helyesírási hibák hiánya önmagában már nem megbízható jel. Ha az üzenet stílusa szokatlan, például sürgető pénzügyi kérést tartalmaz, akkor is legyünk elővigyázatosak – még ha a feladó címe hitelesnek is tűnik. Ilyen esetben érdemes ellenőrizni a levélfejléc technikai adatait, amelyhez segítséget nyújthatnak a levelezőprogram beépített eszközei, különböző AI chatbotok vagy korábbi útmutatónk.
(Példa e-mail spoofinggal történő csalásra. Az e-mail az eredeti felsővezető e-mail címe maradt, viszont a szövegezésben megjelenő sürgető hangnem intő jel lehet.)
Ne feledjük: a vállalati kommunikáció és feladatszabás jellemzően egy korábban kialakult rend szerint történik. Ha ettől eltérő, különösen pénzügyi vagy bizalmas adatokat érintő kéréssel találkozunk, legyünk körültekintők, és minden esetben kérjünk megerősítést egyéb elérhetőségeken keresztül is a kérés teljesítése előtt.
A pénzügyi csalások elkerüléséhez további információt a KiberPajzs oldalán találhatunk.
