حملات BEC: عملکرد این حملات به چه شکل است و چگونه میتوان از این حملات جان سالم به در برد
حملات BEC یا کلاهبرداری مدیرعامل که به نام Business Email Compromise یا به اختصار BEC هم شناخته میشود از جمله روشهای کلاهبرداری رو به رشد است که با استفاده از آن هکرها آدرس ایمیل مدیران اجرایی سطح بالا را جعل کرده و ایمیلهایی به کارمندان ارسال میکنند و از آنها میخواهند که تراکنشهای مالی انجام داده یا اطلاعات حساس و مهمی را افشا کنند.
بنا به تعریف FBI، در معرض خطر قرار گرفتن ایمیلهای تجاری یکی از پیچیدهترین انواع کلاهبرداریها در حوزه مشاغل و کسبوکارهایی محسوب میشود که با تأمین کنندگان/ کسبوکارهای خارجی همکاری دارند و انتقالهای اینترنتی به صورت مستمر میان آنها جریان دارد. عنصری در BEC با نام EAC یا حسابهای ایمیلی که در معرض خطر قرار گرفتهاند وجود دارد که در آن اشخاصی که پرداختهای اینترنتی انجام میدهند را هدف قرار میدهد.
از اکتبر 2013 تا دسامبر 2016 یعنی از آبان 1392 تا دی 1395، کلاهبرداریهای انجام شده به روش BEC، برای سازمانهایی که در 103 کشور مختلف جهان قرار داشتند، حدود 5 میلیارد خسارت به دنبال داشت. در سال 1395 نیز این رقم بهتر نشد. طبق گزارش statista.com، کلاهبرداریهای BEC در هر رویداد به طور میانگین خسارتی بالغ بر 67000 دلار به همراه داشتهاند.
چه شما یک مدیر اجرائی باشید چه یک حسابدار و چه یک دستیار شخصی، دانستن این که این کلاهبرداری چیست، چگونه کار میکند و شما چه کارهایی برای مقابله با آن میتوانید انجام دهید، امری ضروری است.
عملکرد کلاهبرداریهای BEC به چه صورت است؟
جلب اعتماد و سوءاستفاده از آن، عنصر اصلی اغلب کلاهبرداریها به شمار میرود. در خصوص BEC، حملهکنندگان از آشنایی شما بر علیهتان استفاده میکنند.
برای مثال، فرض کنید ایمیلی از یک دوست خوب یا اعضای خانوادهتان دریافت میکنید که از شما میخواهد مبلغی به عنوان کمک برای انجام یک عمل پزشکی ناگهانی برای آنها ارسال کنید. چقدر احتمال دارد که آن را باور کرده و با درخواستشان موافقت کنید؟
اکنون همین سناریوی مشابه را برای محیط سازمانی تصور کنید؛ اما این بار، رئیستان از شما درخواست میکند یک نسخه کپی از اطلاعات مالیاتی کارمندان برایش ارسال کنید. شما چه خواهید کرد؟
در هر دو حالت، این احتمال وجود دارد که درخواست از سوی یک منبع جعلی برای شما ارسال شده باشد، کسی که موفق شده است اطلاعات آدرس ایمیل فردی که شما میشناسید را به دست بیاورد. بیایید گام به گام با نحوه عملکرد این سبک کلاهبرداری آشنا شویم.
گام 1: جمعآوری اطلاعات
کلاهبرداران اغلب هفتهها و ماهها زمان صرف جمعآوری اطلاعات در مورد قربانیانشان میکنند. اطلاعاتی نظیر نام کامل، آدرسها، سرگرمیها، قرارها و غیره میتوانند مسیر را برای جلب اعتماد قربانیان هموار کنند. زمانی که یک کلاهبردار موفق شد اعتماد قربانی را به دست بیاورد، میتواند کمپینهایی از حملات فیشینگ هدفدار را به منظور جمعآوری اطلاعات بیشتر علیه آنها ترتیب دهد.
گام 2: جعل ایمیل
آدرسهای ایمیل جعلی مربوط به مدیرعاملان یا سایر مدیران اجرایی اغلب علت موفقیت حملات BEC هستند. اگر دوست دارید در مورد نحوه عملکرد ایمیلهای جعلی اطلاعات به دست بیاورید، این مقاله توضیح جامع و خوبی در این خصوص ارائه داده است؛ اما مسئله مهم درک این مطلب است که: به محض آنکه یک آدرس ایمیل جعل شد، حملهکننده قادر است هویت صاحب ایمیل را جعل کرده و لیست مخاطبان دارنده آدرس ایمیل را هدف قرار دهد.
گام 3: به دام انداختن کارمندان
با جعل هویت مدیرعامل، حملهکننده میتواند درخواستی برای منابع انسانی یا بخش مالی با موضوع انتقال پول به حسابش یا به دست آوردن اطلاعات شناسایی شخصی کل سازمان ارسال کند. از آنجایی که به نظر میرسد ایمیل از شخصی دریافت شده که همه کارکنان او را میشناسند (رئیس)، آنها بیشتر ترغیب میشوند که بدون بررسی مجدد به درخواست پاسخ دهند.
چگونه میتوان از حملات BEC جان سالم به در برد؟
علاوه بر به کارگیری استاندارهای عملی امنیتی مانند گذرواژههای قوی، فایروالها و نرمافزار آنتیویروس، در اینجا شش روش برای نجات یافتن از حمله BEC ارائه شده است:
اشخاص پر ریسک را شناسایی کنید
منظور از افراد پر ریسک، افرادی هستند که دارای دسترسی سطح بالا میباشند. هرچه مجوزهای دسترسیِ اختصاص داده شده به یک فرد بیشتر باشد، حال این دسترسی چه در سطح تائیدیههای مالی باشد چه در سطح دسترسی به اطلاعات حساس، آن شخص تبدیل به یک هدف بزرگتر خواهد شد. درون تمامی سازمانها مدیرعاملان، مدیران سطح بالا، مدیران اجرایی، اعضای حسابداری و به طور کل، منابع انسانی همگی هدفهای سطح بالا برای کلاهبرداریهای BEC به شمار میروند. بررسی کنید که چه کسی مجوز دسترسی به آنچه که ما آن را امنیت 101 (امنیت اطلاعات) میخوانیم دارد.
در طرحهای آموزشی هوشیاری امنیتی شرکت کنید
نیازی به گفتن نیست که شما باید کارکنانتان را آموزش دهید و به صورت دورهای دانش آنها در حوزه امنیت اطلاعات را بهروزرسانی کنید. احتمالا اغلب آنها هرگز به این موضوع فکر نکردهاند که ایمیلی که از سمت رئیسشان ارسال شده است ممکن است یک حمله فیشینگ باشد. آگاهی آنها از این سبک کلاهبرداریها نه تنها امری ضروری است بلکه این را نیز باید بدانند که مدیران سطح بالا، مدیرعاملان و مدیران اجرائی نیز از این امر آگاهی داشته و در این آموزشها شرکت میکنند. مشارکت مدیران در این طرحها دو نتیجه مثبت به دنبال خواهد داشت: اول اینکه یک الگوی خوب برای تمامی افراد درون سازمان ایجاد میکند و دوم اینکه بطور کلی، وضعیت امنیتی سازمان شما را بهبود خواهد داد.
فرهنگ شفافسازی را ترویج کنید
شما میخواهید که هرگاه کارمندانتان به موردی عجیب یا مشکوک برخورد کردند، بدانند که میتوانند بدون لحظهای تردید به شما مراجعه کرده و آن را با شما در میان بگذارند. اغلب این کلاهبرداریها تنها با دریافت یک تائید تلفنی متوقف میشوند؛ اما اغلب به کارمندان گوشزد میشود که باید بدون پرسش وظایفشان را انجام دهند. با ترویج فرهنگ شفافسازی، این قدرت را به کارمندان و همکارانتان میدهید که در صورت رو به رو شدن با هرگونه مورد مشکوک و نامطمئنی به جای آنکه پیش خودشان فرضیاتی در خصوص آن در نظر بگیرند، این موضوع را با شما مطرح کنند.
در مواجه با رسانههای اجتماعی احتیاط بیشتری به خرج دهید، خصوصا اگر در یک جایگاه مدیریتی قرار دارید
دادهکاوی زمینه را برای حملات فیشینگ فراگیر فراهم میکند. رسانههای اجتماعی اغلب زمین حاصلخیزی برای دادهکاوی توسط مجرمان به شمار میآیند. آدرستان، نام خانوادگیتان، دوستانتان، سرگرمیهایتان، مدل ماشینتان، نوع سگتان… همگی میتوانند در راهاندازی یک حمله فیشینگ هدفدار موفقیتآمیز برعلیه شما به کار گرفته شوند. به طور کلی، اطلاعات کمتری از خود در رسانههای اجتماعی به اشتراک بگذارید، تنظیمات امنیتی و محرمانگی هر کدام از حسابهایتان را به بالاترین درجه ممکن افزایش دهید و تنها دوستانی را که میشناسید در صفحات رسانههای اجتماعی خود بپذیرید.
از قاعده چهار چشم استفاده کنید
قاعده چهار چشم و یا اصل دو نفر، مفهوم سادهای است: تنظیمات را به گونهای ثبت کنید که برای انجام هر گونه تراکنشی که انتقال پول یا دادههای حساس سطح بالا را شامل میشود نیاز به دو نفر باشد؛ مانند بانکها که برای باز کردن صندوق امانات نیاز به دو کلید از دو شخص مختلف دارند، سازمانها نیز میتوانند این رویه را به عنوان بخشی از فرآیند مجوز دهی خود پیادهسازی کنند و به شکلی مؤثر درخواستهای جعلی پول یا اطلاعات را حذف کنند. پیادهسازی این رویه برای برخی سازمانهای مشخص ممکن است ساده نبوده و یا حتی غیرممکن باشد، اما اگر شما به طور مستمر در حال انتقال پول یا داده روی اینترنت هستید، ارزشش را دارد که به پیادهسازی آن فکر کنید.
به سرمایهگذاری برای بیمه سایبری فکر کنید
بحث حیله گرانهای که در خصوص بیمه سایبری مانند اغلب قوانین بیمهای دیگر وجود دارد، این است که این بیمهها اغلب پس از یک خطای جدی مفید خواهند بود. بیمه نمیتواند سازمان شما را در برابر جرائم سایبری محافظت کند بلکه تنها قادر است با جبران بخشی از هزینهها، خسارتها را کاهش دهد. همانطور که اخیرا اشاره شد هزینه میانگین یک رویداد BEC در سال گذشته چیزی در حدود 67000 دلار بوده است. زمانی که مشغول بستن بودجه مورد نیاز برای برنامه دفاع سایبری خود هستید این میزان را نیز در نظر بگیرید. اندکی تحقیق کنید و یک بیمه سایبری خوب را که به سازمان شما بخورد و پاسخگوی نیازها و قوانینتان باشد پیدا کنید.