Nepaisant daugelio metų tvirtinimų, kad „el. pašto mirtis“ sparčiai artėja, dešimtmečius senas komunikacijos metodas versle ir toliau klesti. Visų pirma, įsilaužimo verslas.
El. laiškas su nuoroda, kuri atrodo teisėta, bet iš tikrųjų yra kenkėjiška, tebėra vienas pavojingiausių, tačiau sėkmingiausių gudrybių kibernetinių nusikaltėlių vadove, dėl kurio pastaraisiais metais įvyko keletas didžiausių įsilaužimų, įskaitant 2022 m. socialinės žiniasklaidos platforma Reddit.
Nors šiuos el. laiškus kartais nesunku pastebėti, nesvarbu, ar tai būtų netinkama rašyba, ar neįprastas el. pašto adresas, vis sunkiau atskirti netikrą el. laišką nuo teisėto, nes įsilaužėlių taktika tampa vis sudėtingesnė.
Paimkite, pavyzdžiui, verslo el. pašto kompromisą (arba BEC), tai el. paštu vykdoma ataka, nukreipta į dideles ir mažas organizacijas, siekiant pavogti pinigus, svarbią informaciją arba abu. Tokio tipo sukčiavimo atveju įsilaužėliai apsimetinėja aukai pažįstamais asmenimis, pvz., bendradarbiu, viršininku ar verslo partneriu, arba sukompromituoja juos, siekdami manipuliuoti jais nesąmoningai atskleisti neskelbtiną informaciją.
Negalima pervertinti rizikos, kurią tai kelia įmonėms, ypač pradedantiesiems. Remiantis naujausiais FTB duomenimis, vien pernai per BEC sukčiavimus JAV asmenys prarado beveik 3 mlrd. Ir šios atakos nerodo lėtėjimo ženklų.
Kaip atpažinti verslo el. pašto kompromitavimo sukčiavimą
Ieškokite įspėjamųjų ženklų
Nors kibernetiniai nusikaltėliai tapo labiau pažengę savo el. laiškų siuntimo taktikoje, yra keletas paprastų raudonų vėliavėlių, į kurias galite ir turėtumėte atkreipti dėmesį. Tai el. laiškas, išsiųstas ne įprastomis darbo valandomis, klaidingai parašyti vardai, siuntėjo el. pašto adreso ir atsakymo adreso neatitikimas, neįprastos nuorodos ir priedai arba nepagrįstas skubos jausmas.
Susisiekite tiesiogiai su siuntėju
Sukčiavimo spygliu naudojimas – kai įsilaužėliai naudoja suasmenintus sukčiavimo el. laiškus, kad galėtų apsimesti aukšto lygio įmonės vadovais ar išorės pardavėjais – reiškia, kad gali būti beveik neįmanoma nustatyti, ar pranešimas atėjo iš patikimo šaltinio. Jei el. laiškas atrodo neįprastas (arba net jei ne), susisiekite tiesiogiai su siuntėju, kad patvirtintumėte užklausą, o ne atsakydami el. paštu ar bet kuriuo el. laiške nurodytu telefono numeriu.
Pasitarkite su savo IT žmonėmis
Techninės pagalbos sukčiavimas tampa vis dažnesnis. 2022 m. „Okta“ klientai buvo nukreipti į labai sudėtingą sukčiavimą, kurio metu užpuolikai siuntė darbuotojams tekstinius pranešimus su nuorodomis į sukčiavimo svetaines, kurios imitavo jų darbdavių „Okta“ prisijungimo puslapių išvaizdą. Šie prisijungimo puslapiai atrodė taip kaip realus sandoris, kad daugiau nei 10 000 žmonių pateikė savo darbo kredencialus. Tikėtina, kad jūsų IT skyrius nesusisieks su jumis SMS žinutėmis, todėl jei netikėtai gausite atsitiktinį tekstinį pranešimą arba netikėtą iššokantį pranešimą įrenginyje, svarbu patikrinti, ar jis teisėtas.
Būkite (dar labiau) atsargūs dėl telefono skambučių
Kibernetiniai nusikaltėliai jau seniai naudojasi el. paštu kaip savo pasirinkimo ginklu. Visai neseniai nusikaltėliai, norėdami įsilaužti į organizacijas, pasikliauja apgaulingais telefono skambučiais. Pranešama, kad po vieno telefono skambučio praėjusiais metais buvo įsilaužta į viešbučių tinklą „MGM Resorts“, kai įsilaužėliai sėkmingai apgavo įmonės aptarnavimo skyrių ir suteikė jiems prieigą prie darbuotojo paskyros. Visada skeptiškai vertinkite netikėtus skambučius, net jei jie ateina iš teisėtai atrodančio kontakto, ir niekada nesidalykite konfidencialia informacija telefonu.
Daugiafaktoriai viskas!
Daugiafaktoris autentifikavimas, kuriam paprastai reikalingas kodas, PIN kodas arba piršto atspaudas, norint prisijungti kartu su reguliatoriaus vartotojo vardu ir slaptažodžiu, jokiu būdu nėra patikimas. Tačiau pridėjus papildomą saugos sluoksnį, ne tik slaptažodžius, kuriais gali įsilaužti, kibernetiniams nusikaltėliams bus daug sunkiau pasiekti jūsų el. pašto paskyras. Ženkite dar vieną saugumo žingsnį išleisdami beslaptažodžio technologiją, pvz., aparatinės įrangos saugos raktus ir prieigos raktus, kurie gali užkirsti kelią slaptažodžio ir seanso prieigos rakto vagystei nuo informaciją vagiančios kenkėjiškos programos.
Įdiekite griežtesnius mokėjimo procesus
Bet kokio tipo kibernetinės atakos atveju pagrindinis nusikaltėlio tikslas yra užsidirbti pinigų, o BEC sukčiavimo sėkmė dažnai priklauso nuo manipuliavimo vienu darbuotoju, kad jis išsiųstų pavedimą. Kai kurie finansiškai motyvuoti įsilaužėliai apsimeta pardavėju, reikalaujančiu sumokėti už įmonei suteiktas paslaugas. Norėdami sumažinti riziką tapti tokio tipo el. pašto sukčiavimo auka, įdiekite griežtus mokėjimo procesus: sukurkite mokėjimų patvirtinimo protokolą, reikalaukite, kad darbuotojai patvirtintų pinigų pervedimus per antrą komunikacijos priemonę ir liepkite savo finansų komandai dar kartą patikrinti kiekvieną banką. keičiasi paskyros informacija.
Taip pat galite į tai nekreipti dėmesio
Galiausiai galite sumažinti riziką patekti į daugumą BEC sukčiavimo tiesiog ignoruodami bandymą ir judėkite toliau. Nesu 100% tikras, kad tavo viršininkas iš tikrųjų ar norite išeiti ir nusipirkti 500 USD vertės dovanų kortelių? Ignoruok tai! Sulaukei skambučio, kurio nesitikėjai? Padėkite ragelį! Tačiau dėl savo saugumo komandos ir pagalbos savo bendradarbiams netylėkite. Praneškite apie bandymą savo darbo vietai arba IT skyriui, kad jie būtų labiau budrūs.