BEC – Hình thức lừa đảo qua thư điện tử doanh nghiệp
08:40 | 22/01/2016 | HACKER / MALWARE
Theo nghiên cứu của Trend Micro, tội phạm mạng tích cực gia tăng việc lừa đảo qua thư điện tử, xâm nhập vào tài khoản của doanh nghiệp và thực hiện các vụ chuyển tiền lừa đảo.
Lừa đảo qua thư điện tử của doanh nghiệp (BEC) là gì?
Cục Điều tra Liên bang Mỹ - FBI định nghĩa lừa đảo qua thư điện tử của doanh nghiệp (Business Email Compromise - BEC) là loại lừa đảo tinh vi nhằm vào doanh nghiệp có mối quan hệ hợp tác với các nhà cung cấp nước ngoài cũng như doanh nghiệp thường xuyên thực hiện việc thanh toán chuyển khoản.
Trước đây, hình thức lừa đảo này được biết đến với tên “Man in the email”, xâm nhập vào tài khoản email chính thức của DN để tiến hành các vụ chuyển tiền trái phép.
Theo FBI, BEC đã khiến các doanh nghiệp tại Mỹ mất gần 750 triệu USD và tác động đến hơn 7.000 người trong khoảng thời gian từ tháng 10/2013 đến tháng 8/2015. Trên toàn cầu, tội phạm mạng đã đánh cắp được hơn 50 triệu USD từ người dùng ở các nước khác.
Cách thức hoạt động của BEC
Các chuyên gia bảo mật cho biết, BEC thường bắt đầu bằng việc xâm nhập tài khoản email của một quản lý cấp cao trong doanh nghiệp, hoặc bất kỳ email được niêm yết công khai. Điều này được thực hiện bằng cách sử dụng phần mềm độc hại keylogger (phần mềm ghi lại các thao tác trên bàn phím) hoặc các phương pháp lừa đảo, nơi kẻ tấn công tạo ra một tên miền tương tự với doanh nghiệp mà chúng đang nhằm vào, hoặc dùng một email giả mạo để lừa mục tiêu cung cấp chi tiết về tài khoản.
Dựa trên việc theo dõi các tài khoản email bị xâm nhập, kẻ tấn công sẽ tìm cách xác định người thực hiện việc chuyển tiền và ai yêu cầu họ. Thông thường, kẻ tấn công chỉ yêu cầu một số tiền hợp lý để nghiên cứu, tìm một doanh nghiệp có sự thay đổi về lãnh đạo ở vị trí giám đốc tài chính, hoặc các doanh nghiệp có các lãnh đạo đang đi vắng, hoặc đang bận vào việc khác và lợi dụng điều này như một cơ hội để thực hiện âm mưu lừa đảo.
BEC có hình thức phổ biến:
Cách 1
Cách này, cũng được gọi là “Thủ đoạn hóa đơn giả mạo”, “Nhà cung cấp lừa đảo", và “Thủ đoạn sửa đổi hóa đơn”, thường liên quan đến các doanh nghiệp có mối quan hệ mật thiết với nhà cung cấp. Kẻ tấn công yêu cầu việc chuyển tiền thanh toán hóa đơn sang một tài khoản giả mạo mới thông qua email, điện thoại hoặc fax giả mạo.
Cách 2
Cách này, cũng được gọi là “Thủ đoạn hóa đơn giả mạo”, “Nhà cung cấp lừa đảo", và “Thủ đoạn sửa đổi hóa đơn”, thường liên quan đến các doanh nghiệp có mối quan hệ mật thiết với nhà cung cấp. Kẻ tấn công yêu cầu việc chuyển tiền thanh toán hóa đơn sang một tài khoản giả mạo mới thông qua email, điện thoại hoặc fax giả mạo.
Cách 2
Trong phiên bản này, kẻ tấn công tự xưng là các giám đốc cấp cao, luật sư, hoặc các đại diện pháp lý khác để có thể giải quyết các vấn đề bí mật hoặc nhạy cảm, họ yêu cầu chuyển tiền đến tài khoản họ kiểm soát.
Trong vài trường hợp, kẻ tấn công yêu cầu việc chuyển khoản phải được gửi trực tiếp đến tổ chức tài chính kèm theo chỉ dẫn phải khẩn trương gửi tiền vào ngân hàng. Kiểu tấn công này cũng được biết đến với tên “Giả mạo CEO”, “Lừa đảo giám đốc doanh nghiệp”, “Giả mạo” và “Hành vi gian lận ngành tài chính”.
Cách 3
Trong vài trường hợp, kẻ tấn công yêu cầu việc chuyển khoản phải được gửi trực tiếp đến tổ chức tài chính kèm theo chỉ dẫn phải khẩn trương gửi tiền vào ngân hàng. Kiểu tấn công này cũng được biết đến với tên “Giả mạo CEO”, “Lừa đảo giám đốc doanh nghiệp”, “Giả mạo” và “Hành vi gian lận ngành tài chính”.
Cách 3
Tương tự như hai cách trên, một tài khoản email của nhân viên bị xâm nhập và sau đó sẽ được dùng để đưa ra lời yêu cầu về việc thanh toán hóa đơn đến các tài khoản ngân hàng của kẻ lừa đảo. Các lời nhắn được gửi đến nhiều nhà cung cấp trong danh sách liên hệ của nhân viên đó. doanh nghiệp sẽ không nhận thức được âm mưu này cho đến khi các nhà cung cấp của họ theo dõi tình trạng thanh toán các hóa đơn.
Đại diện Trend Micro cho biết, việc lừa đảo chủ yếu dựa vào lừa đảo phi kỹ thuật (social engineering) và thường không cần xâm nhập vào hệ thống.
Không giống như lừa đảo Phising, các email được dùng trong BEC không phải là email hàng loạt để tránh bị xem là thư rác. Ngoài ra, trong BEC, các nạn nhân bị lừa thường được hướng dẫn phải thực hiện nhanh chóng và bí mật khi chuyển tiền.
Làm sao để tránh trở thành nạn nhân?
Theo các chuyên gia bảo mật, doanh nghiệp nên thận trọng và đào tạo nhân viên cách để không trở thành nạn nhân của lừa đảo BEC và các kiểu tấn công tương tự khác. Thêm vào đó, tội phạm mạng không cần phải có kỹ thuật cao, vì chúng có thể tìm được các công cụ và dịch vụ cung cấp được tất cả các cấp độ kỹ thuật trong thế giới ngầm của tội phạm mạng. Khi mà thế giới dựa ngày càng nhiều vào các dịch vụ web như email, chỉ cần một tài khoản bị xâm nhập là có thể thực hiện việc đánh cắp từ một doanh nghiệp. Vì vậy, hãy thực hiện những cách phòng vệ dưới đây mà hãng bảo mật Trend Micro cung cấp.
• Xem xét cẩn thận tất cả email. Cảnh giác với các email bất thường từ các giám đốc điều hành, vì chúng có thể được sử dụng để lừa nhân viên bằng cách giả vờ khẩn trương. Đánh giá các email yêu cầu chuyển khoản để xác định liệu lời yêu cầu này có khác thường không.
• Rèn luyện và đào tạo nhân viên. Nhân viên chính là tài sản lớn nhất của doanh nghiệp, họ cũng là những mắc xích yếu nhất khi nói đến bảo mật. Hãy đào tạo nhân viên theo những chỉ dẫn thực hành tốt nhất của doanh nghiệp. Nhắc nhở họ tôn trọng các chính sách của doanh nghiệp là một chuyện, nhưng phát triển các thói quen bảo mật tốt là một chuyện khác.
• Xác minh bất kỳ thay đổi nào trong địa chỉ thanh toán của nhà cung cấp bằng cách sử dụng một dấu hiệu phụ bởi nhân viên trong công ty.
• Xác nhận các yêu cầu chuyển khoản khi sử dụng điện thoại như là một phần của chứng thực hai yếu tố, sử dụng những con số tương tự đã biết trước, không phải các chi tiết được cung cấp trong yêu cầu từ email.
• Nếu nghi ngờ rằng bạn bị nhắm đến bởi một email lừa đảo BEC, hãy báo cáo vụ việc ngay cho bộ phận CNTT tại doanh nghiệp cũng như cơ quan pháp luật.
Đại diện Trend Micro cho biết, việc lừa đảo chủ yếu dựa vào lừa đảo phi kỹ thuật (social engineering) và thường không cần xâm nhập vào hệ thống.
Không giống như lừa đảo Phising, các email được dùng trong BEC không phải là email hàng loạt để tránh bị xem là thư rác. Ngoài ra, trong BEC, các nạn nhân bị lừa thường được hướng dẫn phải thực hiện nhanh chóng và bí mật khi chuyển tiền.
Làm sao để tránh trở thành nạn nhân?
Theo các chuyên gia bảo mật, doanh nghiệp nên thận trọng và đào tạo nhân viên cách để không trở thành nạn nhân của lừa đảo BEC và các kiểu tấn công tương tự khác. Thêm vào đó, tội phạm mạng không cần phải có kỹ thuật cao, vì chúng có thể tìm được các công cụ và dịch vụ cung cấp được tất cả các cấp độ kỹ thuật trong thế giới ngầm của tội phạm mạng. Khi mà thế giới dựa ngày càng nhiều vào các dịch vụ web như email, chỉ cần một tài khoản bị xâm nhập là có thể thực hiện việc đánh cắp từ một doanh nghiệp. Vì vậy, hãy thực hiện những cách phòng vệ dưới đây mà hãng bảo mật Trend Micro cung cấp.
• Xem xét cẩn thận tất cả email. Cảnh giác với các email bất thường từ các giám đốc điều hành, vì chúng có thể được sử dụng để lừa nhân viên bằng cách giả vờ khẩn trương. Đánh giá các email yêu cầu chuyển khoản để xác định liệu lời yêu cầu này có khác thường không.
• Rèn luyện và đào tạo nhân viên. Nhân viên chính là tài sản lớn nhất của doanh nghiệp, họ cũng là những mắc xích yếu nhất khi nói đến bảo mật. Hãy đào tạo nhân viên theo những chỉ dẫn thực hành tốt nhất của doanh nghiệp. Nhắc nhở họ tôn trọng các chính sách của doanh nghiệp là một chuyện, nhưng phát triển các thói quen bảo mật tốt là một chuyện khác.
• Xác minh bất kỳ thay đổi nào trong địa chỉ thanh toán của nhà cung cấp bằng cách sử dụng một dấu hiệu phụ bởi nhân viên trong công ty.
• Xác nhận các yêu cầu chuyển khoản khi sử dụng điện thoại như là một phần của chứng thực hai yếu tố, sử dụng những con số tương tự đã biết trước, không phải các chi tiết được cung cấp trong yêu cầu từ email.
• Nếu nghi ngờ rằng bạn bị nhắm đến bởi một email lừa đảo BEC, hãy báo cáo vụ việc ngay cho bộ phận CNTT tại doanh nghiệp cũng như cơ quan pháp luật.
