Rady a tipy

Zaměstnanci neumějí poznat podvodné BEC e-maily: Poznáte je vy?

Christopher Budd, 25. květen 2021

Hackeři se snaží zneužít firemní e-mailové schránky BEC útoky

Malé a střední firmy stojí v těchto dobách před mnoha výzvami a kyberzločinci jim to nedělají jednodušší. Jednou ze zákeřných hrozeb, kterým čelí, jsou podvodné e-maily, kterým se říká BEC útoky z anglického Business Email Compromise. 

V březnu minulého roku okradli kyberzločinci touto metodou norský státní ropný fond o 10 milionů dolarů. Organizace Crime Complaint Center (IC3) spadající pod FBI zaznamenala za rok 2020 celkem 19 369 BEC útoků, které vyústily ve ztrátu více než 1,8 miliardy dolarů. Za jediný rok. 

Jak BEC útoky poznat? 

BEC útoky primárně zneužívají elektronickou poštu podniků, ačkoli nezřídka může dojít i k zaslání podvodných SMS zpráv, hlasových zpráv nebo k podezřelým telefonátům. Tato metoda útoku je o to účinnější, neboť spoléhá hlavně na techniku sociálního inženýrství, a uživatele se snaží přechytračit.

Není proto jednoduché se před tímto typem útoku bránit. A to ať už jste zběhlí a znalí podvodů, anebo jste se nikdy nesetkali s jediným phishingovým e-mailem. Počet BEC útoků se navíc během pandemie ještě zvýšil, neboť většina firem začala komunikovat převážně přes e-maily, čehož kyberzločinci využili. S útoky mají problém i za Atlantikem. Pro ilustraci si vezměme případ Barbary Corcoran, podnikatelky, investorky a porotkyně známé podnikatelské reality show v Americe, Shark Tank. Ta na začátku roku 2020 málem přišla o 400 000 dolarů, tedy přes 8 milionů Kč. Na vině byl právě BEC útok. 

„Šlo o fakturu jako každou jinou, odeslanou od mé asistentky mému účetnímu. Faktura byla vystavená na platbu za renovaci jedné z nemovitostí, které vlastním. Nebyl žádný důvod, proč takovou fakturu podezírat, vzhledem k tomu, že do nemovitostí investuji obrovské množství peněz,” popisuje. Dotyčné e-maily můžete najít zde.

Bezpečnostní softwary vás před útoky také neochrání, přeci jenom nejde o žádný škodlivý kód, který by mohl antivirus zablokovat. Takže jak se bránit podvodným telefonátům, které na první poslech zní rozumně a falešným fakturám, které působí věrohodně do posledního detailu? Není to jednoduché a základem je opatrnost. 

Jak se BEC útokům vyhnout

S BEC útoky jste se mohli setkat ještě před existencí e-mailových schránek. Nejsou závislé na technologii, kloubí staré techniky s moderními technologiemi a vytváří tak děsivou kombinaci. 

První linií obrany jste vy a vaši zaměstnanci. 

Prvním krokem vaší strategie obrany by mělo být důkladné vzdělání vašich zaměstnanců a společně s nimi si můžete paměť osvěžit i vy. 

„Potřebuji, abyste nakoupil/a dárkové karty v hodnotě 50 000 Kč na dnešní narozeninovou oslavu. Pak mi je pošlete a nikomu o tom neříkejte.” Můžete zkusit podobnou zprávu rozeslat mezi vašimi zaměstnanci a v simulované situaci si vyzkoušet, jak na tom vaše firma je. Jestli tahle zpráva nikoho nezaskočí, máte před sebou ještě velký kus práce. 

Teď už víte, jak na tom jste a je čas na ofenzívu. Zdůrazněte svým zaměstnancům, jak důležité je ověřovat žádosti o platbu a dodržování zavedených procesů pro platby faktur, změny platebních údajů či nákup a zasílání dárkových karet. Pokud si zaměstnanci nejsou jistí, zda je faktura či žádost o platbu pravá, mohou také zavolat údajnému vystaviteli faktury a požadavek ověřit u zdroje.

Útočníci po svých obětech mohou vyžadovat, aby o platbě či celé žádosti mlčely. To by samo o sobě mělo zaměstnance varovat a okamžitě by měli zprávu ověřit. Zaměstnancům dejte najevo, že v takových situacích se nejen mohou, a dokonce by se měli na zprávu zeptat svých spolupracovníků.

Ve zkratce je důležité vědět, jak BEC útoky vypadají a že je třeba zacházet s každou podezřelou zprávou opatrně. BEC útoky nicméně nemají šanci, pokud své kolegy naučíte útoky očekávat a vštípíte jim, aby podezřelé zprávy okamžitě podezírali a ověřovali je. 

Nejnovější podvody, které kolují českým internetem, se dozvíte také na naší facebookové stránce, tak ji nezapomeňte sledovat!