Oszustwo typu BEC - „Businnes Email Compromise” - Aktualności - KPP Ostrów Wlkp

W dniu wczorajszym tj. 12.08.2024r. do Komendy Powiatowej Policji w Ostrowie Wielkopolskim zgłosiła się dyrektor jednej z ostrowskich instytucji, która powiadomiła, że na adres poczty e-mail, należącego do działu księgowości wpłynęła wiadomość z pytaniem o saldo konta służbowego oraz dokonanie przelewu na kwotę 35 000 Euro. E-mail podpisany był przez pracownika Urzędu Miasta. W krótkim odstępie czasu kobieta otrzymała drugą wiadomość o podobnej treści. Zgłaszająca nie dokonała przelewu i fakt ten zgłosiła na Policję.

Naruszenie biznesowej poczty e-mail to rodzaj przestępstw w którym oszuści wykorzystują pocztę e-mail, aby nakłonić kogoś do wysłania pieniędzy lub ujawnienia poufnych informacji firmowych. Jest to atak, który opiera się przede wszystkim na ludzkiej naiwności i nieuwadze. Sprawcy przeważnie „znają” swoją potencjalną ofiarę, a ich ataki są przemyślane i dobrze przygotowane. W atakach typu BEC oszuści podszywają się pod właścicieli firm lub osoby znajdujące się w zarządach przedsiębiorstw (np. na stanowisku dyrektora lub prezesa) i wysyłają fałszywe wiadomości w których najczęściej proszą o zmianę numeru rachunku do przelewu, pilne uregulowanie płatności lub pilną realizację określonego przelewu.

Oszuści stosują różne sztuczki i techniki manipulacji, które mogą zmylić pracownika. Wiadomości przeważnie są pilne, najczęściej dotyczą natychmiastowej weryfikacji stanu konta lub uaktualnienia danych do przelewu. Wymagają szybkiego podjęcia określonych działań np. otwarcie załączników lub kliknięcie linków, a poprzez nacisk i presję czasu, nie dają pracownikom przestrzeni na analizę sytuacji. Bardzo często zawierają też prośbę o zachowanie poufności i anonimowość, co dla niektórych może być „potwierdzeniem” polecenia zwierzchnika.

Wiadomości typu BEC najczęściej wysyłane są z adresu email do złudzenia przypominającego ten prawdziwy, co sprawia, że wiadomość wygląda na wiarygodną. W niektórych sytuacjach, gdy przestępcy przejmą skrzynkę e-mail pracownika, wiadomość może pochodzić z prawdziwego adresu.

W jaki sposób można się uchronić przed atakiem typu BEC?

1. Nie ulegaj presji czasu i autorytetu – to właśnie dzięki wpłynięciu na emocje oszuści chcą skłonić ofiarę do szybkiego, nieprzemyślanego działania.

2. Zawsze sprawdzaj nadawcę wiadomości. Zweryfikuj adres e-mail, od którego otrzymałeś/-łaś wiadomość. Skontaktuj się bezpośrednio z osobą, która zleca Ci zadania (np. telefonicznie) i upewnij się, że jest tą, za którą się podaje.

3. Zadbaj o bezpieczeństwo poczty e-mail - powinno obejmować zaawansowane filtry spamu, skanery złośliwego oprogramowania i rozwiązania antyphishingowe.

4. Regularnie przeprowadzaj szkolenia, ćwiczenia i warsztaty podnoszące kompetycje twoich pracowników. Im większa świadomość cyberzagrożeń, tym większe bezpieczeństwo Twojej firmy.

5. Ustal zasady dokonywania płatności za przelewy, które mogą uchronić twoją organizację przed utratą pieniędzy w wyniku ataku BEC.

6. Weryfikuj żądania zmiany numeru konta i potwierdzaj transakcje finansowe, zwłaszcza te, które obejmują znaczne sumy, poprzez inne środki komunikacji niż otrzymana wiadomość .

7. Zadbaj o silne hasła do usług, z których korzystasz. Włącz weryfikację dwuetapową.

8. Unikaj otwierania załączników lub klikania w linki w wiadomościach e-mail pochodzących z nieznanych źródeł.

9. Zadbaj o bezpieczeństwo sprzętu, z którego korzystasz. Pamiętaj o regularnym aktualizowaniu programów i systemów z jakich korzystasz.