Az FBI 2020-as évre vonatkozó kiberbiztonsági jelentése szerint a legtöbb kárt az üzleti e-mail csalás (business e-mail compromise) okozta. Odafigyeléssel és biztonsági protokollok beépítésével tudunk ellene védekezni.
Az amerikai szövetségi nyomozóiroda (FBI) fenntart egy Internet Crime Complaint Center (IC3) -t, ahová a fogyasztók az online visszaélésekkel kapcsolatos feljelentéseket tehetnek. Az FBI legfrissebb jelentése szerint a 2020-as évben 791 790 panasz érkezett ehhez a központhoz, ami közel kétszeres növekedést jelent a 2019-es 467 361 panaszhoz képest.
A panaszok száma mellett érdekes adat, hogy melyek voltak a leggyakrabban jelentett bűncselekmények: adathalász támadások, átverések és zsarolás. Azonban hiába ezek a leggyakoribb esetek, a legnagyobb pénzügyi veszteséget az üzleti e-mail csalás (1,8 milliárd dollár) a romantikus átverések (600 millió dollár) és a befektetési csalások (336 millió dollár) okozták. Ehhez képest a zsarolóvírusok ezen statisztika szerint mindössze 29 millió dolláros veszteséget okoztak. (Persze, az adatokat árnyalja, hogy a központhoz nem minden kiberbiztonsági esemény érkezik be, és valószínűtlen, hogy a cégek lejelentik a kifizetett váltságíjakat – ezért a zsarolóvírusok által okozott teljes kárt nehéz megbecsülni, és az valójában lényegesen nagyobb lehet, mint amekkorának ez a jelentés mutatja.)
Az üzleti e-mail csalás tipikusan a vállalatokat célzó támadás. A bűnözők valahogyan hozzáférnek a vállalati e-mailekhez, kifigyelik a levelezést. Egy adott ponton beékelődnek egy megrendelő és a vásárló közé, és egy nagy megrendeléshez kapcsolódóan egy megváltoztatott bankszámlára kérik a kifizetést. Ha a vállalatnál nincsenek megfelelő mechanizmusok a megváltozott utalási adatok ellenőrzésére, akkor rossz számlára megy a pénz. Blogunkon korábban Philadelphia egyik legnagyobb karitatív szervezetét ért hasonló támadásról írtunk.
Ugyancsak az üzleti csalás egyik típusa, amikor a csalók e-mailben a vállalat vezetőjének adják ki magukat és sürgős fizetéssel, utalással bízzák meg a könyvelőt. A támadók előzetesen az IT-osztály képviselőjének is kiadhatják magukat, és ezzel veszik rá az embereket, hogy kiadják felhasználónevüket és jelszavunkat.
Az üzleti csalás ellen odafigyeléssel és beépített biztonsági protokollok betartásával lehet védekezni.
A G DATA arra figyelmeztet, hogy egy sürgősen kért, váratlan utalás visszaellenőrzést igényel. Ugyanígy ellenőrizni kell, ha egy partner egy megváltozott számlaszámra kér egy jelentősebb összegű utalást.
Például, ha e-mailben sürgősen egy utalás elvégzésére kér vezetőnk, akkor a saját mobilszámán hívjuk fel vezetőnket, vagy csörögjünk rá videóhívással, hogy győződjünk meg, tényleg ő kérte az utalást. Ha egy partnerünk bankszámlaszáma megváltozik, akkor ugyancsak videóhívással vagy telefonhívással győződjünk meg az adatok valódiságáról, mielőtt elvégeznénk az utalást.