Cục Điều tra liên bang Mỹ - FBI định nghĩa lừa đảo qua thư điện tử của doanh nghiệp (BEC – business email compromise) là loại lừa đảo tinh vi nhắm vào doanh nghiệp (DN) có mối quan hệ hợp tác với các nhà cung cấp nước ngoài cũng như DN thường xuyên thực hiện việc thanh toán chuyển khoản.
Trước đây, hình thức lừa đảo này được biết đến với tên “Man in the email”, xâm nhập vào tài khoản email chính thức của DN để tiến hành các vụ chuyển tiền trái phép.
Theo FBI, BEC đã khiến các nạn nhân tại Mỹ mất gần 750 triệu USD và tác động đến hơn 7.000 người trong khoảng thời gian từ tháng 10/2013 đến tháng 8/2015. Trên toàn cầu, tội phạm mạng đã lừa được hơn 50 triệu USD từ các nạn nhân ở các nước khác.
Cách thức hoạt động của BEC
Các chuyên gia bảo mật cho biết, BEC thường bắt đầu bằng việc xâm nhập tài khoản email của một quản lý cấp cao trong DN, hoặc bất kỳ email nào đó được niêm yết công khai. Điều này được thực hiện bằng cách sử dụng phần mềm độc hại keylogger (phần mềm ghi lại các thao tác trên bàn phím) hoặc các phương pháp lừa đảo, nơi kẻ tấn công tạo ra một tên miền tương tự với DN mà chúng đang nhắm đến, hoặc dùng một email giả mạo để lừa mục tiêu cung cấp chi tiết về tài khoản.
Dựa trên việc theo dõi các tài khoản email bị xâm nhập, kẻ gian sẽ tìm cách xác định người thực hiện việc chuyển tiền và ai yêu cầu họ. Thủ phạm thường chỉ yêu cầu một số tiền hợp lý để nghiên cứu, tìm một DN có sự thay đổi về lãnh đạo ở vị trí giám đốc tài chính, hoặc các DN có các lãnh đạo đang đi vắng, hoặc đang bận vào việc khác và lợi dụng điều này như một cơ hội để thực hiện âm mưu lừa đảo.
BEC có hình thức phổ biến:
Cách 1
Cách 2
Trong vài trường hợp, kẻ lừa đảo yêu cầu việc chuyển khoản phải được gửi trực tiếp đến tổ chức tài chính kèm theo chỉ dẫn phải khẩn trương gửi tiền vào ngân hàng. Kiểu lừa đảo này cũng được biết đến với tên “Giả mạo CEO”, “Lừa đảo giám đốc doanh nghiệp”, “Giả mạo” và “Hành vi gian lận ngành tài chính”.
Cách 3
Đại diện Trend Micro cho biết, việc lừa đảo chủ yếu dựa vào mánh khóe phi kỹ thuật (social engineering), và thường không cần xâm nhập vào hệ thống.
Không giống như lừa đảo Phising, các email được dùng trong BEC không phải là email hàng loạt để tránh bị xem là thư rác. Ngoài ra, trong BEC, các nạn nhân bị lừa thường được hướng dẫn phải thực hiện nhanh chóng và bí mật khi chuyển tiền.
Làm sao để tránh trở thành nạn nhân?
Theo các chuyên gia bảo mật, DN nên thận trọng và đào tạo nhân viên cách để không trở thành nạn nhân của lừa đảo BEC và các kiểu tấn công tương tự khác. Thêm vào đó, tội phạm mạng không cần phải có kỹ thuật cao vì chúng có thể tìm được các công cụ và dịch vụ cung cấp được tất cả các cấp độ kỹ thuật trong thế giới ngầm của tội phạm mạng. Khi mà thế giới dựa ngày càng nhiều vào các dịch vụ web chẳng hạn như email, chỉ cần một tài khoản bị xâm nhập là có thể thực hiện việc đánh cắp từ một doanh nghiệp. Vì vậy, hãy thực hiện những cách phòng vệ dưới đây mà hãng bảo mật Trend Micro cung cấp.
• Xem xét cẩn thận tất cả email. Cảnh giác với các email bất thường từ các giám đốc điều hành, vì chúng có thể được sử dụng để lừa nhân viên bằng cách giả vờ khẩn trương. Đánh giá các email yêu cầu chuyển khoản để xác định liệu lời yêu cầu này có khác thường không.
• Rèn luyện và đào tạo nhân viên. Nhân viên chính là tài sản lớn nhất của DN, họ cũng là những mắc xích yếu nhất khi nói đến bảo mật. Hãy đào tạo nhân viên theo những chỉ dẫn thực hành tốt nhất của DN. Nhắc nhở họ tôn trọng các chính sách của DN là một chuyện, nhưng phát triển các thói quen bảo mật tốt là một chuyện khác.
• Xác minh bất kỳ thay đổi nào trong địa chỉ thanh toán của nhà cung cấp bằng cách sử dụng một dấu hiệu phụ bởi nhân viên trong công ty.
• Xác nhận các yêu cầu chuyển khoản khi sử dụng điện thoại như là một phần của chứng thực hai yếu tố, sử dụng những con số tương tự đã biết trước, không phải các chi tiết được cung cấp trong yêu cầu từ email.
• Nếu bạn nghi ngờ rằng bạn bị nhắm đến bởi một email lừa đảo BEC, hãy báo cáo vụ việc ngay cho bộ phận CNTT tại DN cũng như cơ quan pháp luật.
Nguồn: PC World VN