即使您是網絡犯罪分子,仔細選擇目標並爭取更高的投資回報率也是交易的最大動力。這種現像開始了一種新的趨勢 BEC 要么 商業妥協詐騙 。這個精心執行的騙局涉及黑客使用社會工程來確定目標公司的首席執行官或首席財務官。然後,網絡犯罪分子將通過該特定高級管理人員發送的欺詐性電子郵件發送給負責財務的員工。這將提示其中一些人啟動電匯。
商業妥協詐騙
這種技術似乎對黑客社區來說效果不錯,而不是花費無數浪費時間進行網絡釣魚或向公司帳戶發送垃圾郵件,這種技術似乎很有效,因為即使很小的營業額也會帶來巨額利潤。成功的BEC攻擊會導致成功侵入受害者的業務系統,不受限制地訪問員工憑證,以及公司的巨額財務損失。
執行BEC詐騙的技巧
- 使用電子郵件中的強製或敦促語氣來鼓勵員工更高的更替率,同意訂單而無需調查。例如,“我希望您盡快將此金額轉移到客戶”,其中包括命令和財務緊急程度。
- 電子郵件使用幾乎接近真實交易的域名欺騙實際的電子郵件地址。例如,當員工不太堅持檢查發件人的地址時,使用yah00而不是yahoo非常有效。
- 網絡罪犯使用的另一項主要技術是要求電匯轉移的金額。電子郵件中請求的金額應與收件人在公司中的權限數量保持同步。預計更高的金額會引起對網絡問題的懷疑和升級。
- 妥協商業電子郵件,然後濫用ID。
- 使用“從我的iPad發送”和“從我的iPhone發送”等自定義簽名,補充了發件人無需進行交易的事實。
BEC有效的原因
業務妥協詐騙是針對高級員工的目標而針對較低級別的員工進行的。這起到''的意義上 恐懼'源於自然從屬關係。因此,較低級別的員工往往會堅持不懈地完成工作,大多數情況下不會因為浪費時間而無需擔心錯綜複雜的細節。因此,如果他們在一個組織工作,拒絕或延遲老闆的訂單可能不是一個好主意。如果訂單確實證明是真的,那麼這種情況對員工是有害的。
它起作用的另一個原因是黑客使用的緊迫性因素。在電子郵件中添加時間線會轉移員工完成任務,然後他會檢查發件人真實性等詳細信息。
商業妥協詐騙統計
- 自幾年前被發現以來,BEC病例一直呈上升趨勢。已經發現,美國和全球超過79個國家的所有州都擁有成功以商業妥協詐騙為目標的公司。
- 事實上,在過去4年中,超過17,500家公司,特別是員工,已經受到BEC目標的製約,最終導致公司遭受重大損失。 2013年10月至2016年2月的總損失約為23億美元。
預防商業妥協詐騙
雖然社會工程沒有明顯的治愈方法,並且在員工訪問的情況下侵入公司的系統,但肯定有一些方法可以讓員工保持警覺。所有員工都應接受有關這些攻擊及其一般性質的教育。建議他們定期在收件箱中篩選任何欺騙性的電子郵件地址。除此之外,所有此類頂級管理訂單都應通過電話或個人聯繫方式與當局核實。該公司應鼓勵對數據進行雙重驗證。