Apa itu Business Compromise Scams (BEC) atau CEO Frauds

Hati-hati memilih target dan bertujuan untuk mendapatkan hasil investasi yang lebih tinggi, bahkan jika Anda adalah penjahat cyber, adalah motif terbesar dari sebuah transaksi. Fenomena ini telah memulai tren baru yang disebut BEC atau Business Compromise Scam . Penipuan yang dilakukan dengan hati-hati ini melibatkan peretas menggunakan Teknik Sosial untuk memastikan CEO atau CFO perusahaan target. Para penjahat dunia maya kemudian akan mengirim email penipuan, yang dialamatkan dari pejabat manajemen senior tertentu itu, kepada karyawan yang bertanggung jawab atas keuangan. Ini akan mendorong beberapa dari mereka untuk memulai transfer kawat.

Business Compromise Scams

Alih-alih menghabiskan banyak waktu yang sia-sia. Phishing atau spamming akun perusahaan dan berakhir tanpa apa-apa, teknik ini tampaknya berfungsi dengan baik untuk komunitas hacker., karena bahkan perputaran kecil menghasilkan keuntungan besar. Serangan BEC yang berhasil adalah salah satu yang menghasilkan intrusi yang sukses ke dalam sistem bisnis korban, akses tidak terbatas pada kredensial karyawan, dan kerugian finansial yang besar bagi perusahaan.

Teknik melakukan Penipuan BEC

• Menggunakan penegakan atau nada mendesak di email untuk mendorong pergantian karyawan yang lebih tinggi yang menyetujui pesanan tanpa penyelidikan. Misalnya, `saya ingin Anda mentransfer jumlah ini ke klien secepatnya`, yang mencakup perintah dan urgensi keuangan.
• Email Spoofing alamat email yang sebenarnya dengan menggunakan nama domain yang hampir mendekati real deal. Misalnya, menggunakan yah00 daripada yahoo cukup efektif ketika karyawan tidak terlalu memaksa dalam memeriksa alamat pengirim.
• Teknik utama lain yang digunakan penjahat cyber adalah jumlah yang diminta untuk transfer kawat. Jumlah yang diminta dalam email harus selaras dengan jumlah otoritas yang dimiliki penerima di perusahaan. Jumlah yang lebih tinggi diharapkan meningkatkan kecurigaan dan eskalasi masalah ini ke sel cyber.
• Mengkompromikan email bisnis dan kemudian menyalahgunakan ID.
• Menggunakan tanda tangan khusus seperti `Dikirim dari iPad saya` dan `Dikirim dari iPhone saya` yang melengkapi fakta bahwa pengirim tidak memiliki akses yang diperlukan untuk melakukan transaksi.

Alasan mengapa BEC efektif

Business Compromise Penipuan dilakukan untuk menargetkan karyawan tingkat yang lebih rendah yang menyamar sebagai karyawan senior. Ini memainkan pada rasa ` ketakutan ` berasal dari subordinasi alami. Semakin rendah tingkat karyawan maka akan cenderung terus-menerus menyelesaikan, kebanyakan tanpa peduli pada detail yang rumit dengan risiko kehilangan waktu. Jadi, jika mereka bekerja di sebuah organisasi, itu mungkin tidak akan menjadi ide yang baik untuk menolak atau menunda perintah dari bos. Jika pesanan benar-benar berubah, situasinya akan merugikan bagi karyawan.

Alasan lain mengapa itu berhasil adalah elemen urgensi yang digunakan oleh peretas. Menambahkan garis waktu ke email akan mengalihkan karyawan untuk menyelesaikan tugas sebelum dia peduli untuk memeriksa rincian seperti keaslian pengirim.

Statistik Penipuan Kompromi Bisnis

• Kasus BEC telah meningkat sejak ditemukan beberapa tahun lalu. Telah ditemukan bahwa semua negara bagian di AS dan lebih dari 79 negara di dunia telah memiliki perusahaan yang telah berhasil ditargetkan dengan Penipuan Kompromi Bisnis.
• Faktanya, dalam 4 tahun terakhir, lebih dari 17.500 perusahaan, khususnya karyawan, memiliki telah menjadi sasaran BEC dan telah berakhir menyebabkan kerugian yang signifikan bagi perusahaan. Kerugian total dari Oktober 2013 hingga Februari 2016 bertambah hingga sekitar $ 2,3 miliar.

Pencegahan Penipuan Kompromi Bisnis

Meskipun tidak ada obat yang jelas untuk rekayasa sosial dan peretasan ke dalam sistem perusahaan dengan akses dari seorang karyawan, ada tentu ada beberapa cara untuk membuat para pekerja waspada. Semua karyawan harus dididik tentang serangan-serangan ini dan sifat umumnya mereka. Mereka harus disarankan untuk secara teratur menyaring setiap alamat email spoofing di kotak masuk mereka. Selain itu, semua perintah manajemen tingkat atas tersebut harus diverifikasi dengan otoritas melalui telepon atau kontak pribadi. Perusahaan harus mendorong verifikasi data ganda.