Σημειώνεται ότι ο συγκεκριμένος τρόπος δράσης «Business Email Compromise (BEC) – Απάτη με τη μέθοδο του ενδιάμεσου», είναι μια εξελιγμένη απάτη που στοχεύει στις επιχειρήσεις και τα άτομα που εκτελούν πληρωμές μέσω τραπεζικών εμβασμάτων.
Η συγκεκριμένη μορφή απάτης που λαμβάνει χώρα στο κυβερνοχώρο, αφορά κατά κύριο λόγο τους επαγγελματίες, εμπόρους, προμηθευτές, ιδιοκτήτες εταιρειών. Η συγκεκριμένη μορφή απάτης έχει ονομαστεί σε ευρωπαϊκό - διεθνές επίπεδο ως απάτη «man in the middle».
Ειδικότερα, οι δράστες παρεμβαίνουν σε τμήματα της επικοινωνίας μεταξύ συναλλασσόμενων επαγγελματιών και εμπόρων με επιχειρήσεις του εξωτερικού και τους πείθουν να καταθέσουν χρήματα σε τραπεζικούς λογαριασμούς, διαφορετικούς από αυτούς που είχαν αρχικά συμφωνηθεί.
Modus operandi:
Οι δράστες αποκτούν με διάφορες τεχνικές μη εξουσιοδοτημένη πρόσβαση και παρεμβαίνουν σε τμήματα της ηλεκτρονικής αλληλογραφίας, μεταξύ συναλλασσόμενων επαγγελματιών και εμπόρων με προμηθευτές ή πελάτες και μόλις εντοπίσουν μηνύματα που αφορούν επικείμενη πληρωμή σε τραπεζικό λογαριασμό, παρεμβαίνουν αποστέλλοντας απατηλά μηνύματα, από διευθύνσεις ηλεκτρονικού ταχυδρομείου που προσομοιάζουν με τις πραγματικές.
Στη συνέχεια υποδύονται υπαλλήλους της συνεργαζόμενης επιχείρησης και πείθουν τους συναλλασσόμενους να καταθέσουν χρήματα σε απατηλούς τραπεζικούς λογαριασμούς, διαφορετικούς από αυτούς που είχαν συμφωνηθεί.
Πώς λειτουργούν οι απάτες BEC;
1. Οι απατεώνες μελετούν τους στόχους τους και βρίσκουν πώς να πλαστογραφήσουν την ταυτότητά τους. Ορισμένες φορές δημιουργούν πλαστές τοποθεσίες web ή ακόμη και καταχωρούν εταιρείες με το ίδιο όνομα με το δικό σας σε διαφορετική χώρα ή περιοχή.
2. Μόλις αποκτήσουν πρόσβαση, οι απατεώνες παρακολουθούν τα μηνύματα ηλεκτρονικού ταχυδρομείου για να διαπιστώσουν ποιος μπορεί να στείλει ή να λάβει χρήματα. Εξετάζουν επίσης μοτίβα συνομιλίας και τιμολόγια ή την ρουτίνα των συναλλασσόμενων.
3. Κατά τη διάρκεια μιας συνομιλίας μέσω ηλεκτρονικού ταχυδρομείου, ο απατεώνας μιμείται ένα από τα μέρη πλαστογραφώντας τον τομέα ηλεκτρονικού ταχυδρομείου. (Η διεύθυνση ηλεκτρονικού ταχυδρομείου μπορεί να διαφέρει κατά ένα ή δύο γράμματα π.χ. αντί για το ορθό suspicius@bec.com να είναι το suspicius@bec.corn ή μπορεί να είναι η σωστή διεύθυνση ηλεκτρονικού ταχυδρομείου "μέσω” ενός διαφορετικού τομέα)
4. Ο απατεώνας προσπαθεί να αποκτήσει την εμπιστοσύνη του στόχου και στη συνέχεια, ζητά χρήματα, δωροκάρτες ή πληροφορίες.
Εάν μια επίθεση παραβίασης επιχειρησιακού ηλεκτρονικού ταχυδρομείου είναι επιτυχής, ο οργανισμός σας θα μπορούσε:
- Να χάσει εκατοντάδες χιλιάδες έως εκατομμύρια ευρώ ή δολλάρια.
- Να αντιμετωπίσει εκτεταμένη κλοπή δεδομένων, αν κλαπούν προσωπικά στοιχεία.
- Κατά λάθος διαρροή εμπιστευτικών δεδομένων, όπως πνευματική ιδιοκτησία υπαλλήλων ή πελατών.
Τι μπορείς να κάνεις;
Ως Εταιρεία
- Έχετε επίγνωση των κινδύνων και βεβαιωθείτε ότι οι εργαζόμενοι είναι επίσης ενημερωμένοι και ενήμεροι.
- Ενθαρρύνετε το προσωπικό σας να προσεγγίζει τα αιτήματα πληρωμής με προσοχή.
- Εφαρμογή εσωτερικών πρωτοκόλλων σχετικά με τις πληρωμές.
- Εφαρμόστε μια διαδικασία για την επαλήθευση της νομιμότητας των αιτημάτων πληρωμής που λαμβάνονται μέσω email.
- Καθιερώστε ρουτίνες αναφοράς για τη διαχείριση της απάτης.
- Ελέγξτε τις πληροφορίες που δημοσιεύονται στον ιστότοπο της εταιρείας σας, περιορίστε τις πληροφορίες και δείξτε προσοχή όσον αφορά τα μέσα κοινωνικής δικτύωσης.
- Αναβάθμιση και ενημέρωση τεχνικής ασφάλειας.
- Πάντα να επικοινωνείτε με την αστυνομία σε περιπτώσεις απόπειρας απάτης, ακόμα κι αν δεν είστε θύμα απάτης.
Ως υπάλληλος
- Εφαρμόστε αυστηρά τις ισχύουσες διαδικασίες ασφαλείας για πληρωμές και προμήθειες. Μην παραλείψετε κανένα βήμα και μην υποκύψετε στην πίεση.
- Πάντα να ελέγχετε προσεκτικά τις διευθύνσεις email όταν αντιμετωπίζετε ευαίσθητες πληροφορίες - μεταφορές χρημάτων.
- Σε περίπτωση αμφιβολίας για εντολή μεταφοράς, συμβουλευτείτε έναν αρμόδιο συνάδελφο.
- Μην ανοίγετε ποτέ ύποπτους συνδέσμους ή συνημμένα που λαμβάνονται μέσω email. Να είστε ιδιαίτερα προσεκτικοί όταν ελέγχετε το ιδιωτικό email σας στους υπολογιστές της εταιρείας.
- Περιορίστε τις πληροφορίες και δείξτε προσοχή σε σχέση με τα μέσα κοινωνικής δικτύωσης.
- Αποφύγετε να μοιράζεστε πληροφορίες σχετικά με την ιεραρχία, την ασφάλεια ή τις διαδικασίες της εταιρείας.
- Εάν λάβετε ένα ύποπτο email ή κλήση, ενημερώστε πάντα το τμήμα πληροφορικής σας.