Spaceship Blogg

Hva er business email compromise (BEC)?

Hvert år stikker kriminelle av med milliarder. Ikke ved å bryte seg inn i fancy kunstgallerier eller bankhvelv, men ved å sende riktig e-post til riktig person på riktig tidspunkt. Slik gjør de det.

I denne artikkelen får du lære:

  • Hva business email compromise faktisk er

  • Hvordan disse angrepene utføres, trinn for trinn

  • De vanligste typene BEC-angrep

  • Et eksempel fra virkeligheten på et angrep på 37 millioner dollar

  • Slik beskytter du virksomheten din før den blir et mål

Hva er business email compromise innen cybersikkerhet?

Business email compromise er et cyberangrep der kriminelle utgir seg for å være noen du stoler på for å lure deg til å sende penger eller overlevere sensitive data. Det som gjør det farlig, er tålmodigheten og planleggingen. Angripere bruker uker på å lære hvordan et selskap kommuniserer, hvem som har myndighet, og når de skal slå til. Når e-posten først lander, ser den ut som en normal e-post fra noen du kjenner.

Hvordan fungerer et business email compromise-angrep?

Det finnes en velprøvd oppskrift på disse angrepene, og svindlere følger den hver eneste gang.

Trinn 1 – Finn målet

Hele poenget med et business email compromise-angrep er at det må virke overbevisende. Heldigvis for angriperne er Internett en gullgruve av informasjon om potensielle mål. Et raskt blikk på profilen din i sosiale medier kan avsløre jobben din, nære venner og til og med tonefallet ditt. Setter man dette sammen med pressemeldinger om selskapets fremtidige planer og biografier fra selskapets nettsider, begynner det å se troverdig ut.

Angripere kan skrape all denne informasjonen og i løpet av sekunder lage en e-post som ser ut og høres ut som den ekte varen.

Trinn 2 – Kom deg inn i innboksen

For at innholdet i e-posten skal virke ekte, må angriperne pakke det inn i en pen og troverdig innpakning. Hvis e-postadressen ikke ser ut til å komme fra en pålitelig kilde, faller hele svindelen flatt.

Angripere kan forfalske domenet ved å registrere et navn som acme-corp.com i stedet for acmecorp.com. Eller, hvis de er smarte nok, hacke den ekte innboksen, noe som gjør det nesten umulig å skille det fra en ekte melding.

Tross alt, hvis det ser ut som en and og kvekker som en and, vil de fleste tro at det er en and.

Trinn 3 – Bygg tillit

Med disse angrepene er tålmodighet navnet på spillet. Angripere kan skjule seg i en hacket innboks i ukevis, lese e-posttråder og lære kommunikasjonsstiler. Når e-posten endelig kommer, glir den inn blant tidligere e-poster og speiler tonen og flyten i samtalen.

Trinn 4 – Kom med forespørselen

Når angriperne kjenner deg ut og inn — tonefallet ditt, navnene og titlene til kollegene dine og hva som skjer i selskapet ditt — og de har klart å lirke seg inn i e-posten din, sendes forespørselen.

Det er vanligvis noe som ikke enkelt kan gjøres om. Det kan innebære å sende penger til en bankkonto eller dele privat informasjon. Nøkkelen er at det må være irreversibelt. 

Når målet innser at noe er galt, trenger angriperen at skaden allerede er skjedd. Hvis de er ekstra utspekulerte, kan de til og med sende det i en høytidsperiode når alle er mindre på vakt, og sjansen for suksess er større.

Trinn 5 – Forsvinn uten spor

Etter at pengene er sendt, flyttes de raskt gjennom en rekke mellomleddskontoer. Disse er vanligvis basert i utlandet, noe som gjør pengesporet svært vanskelig å følge selv for politiet.

Eksempel på business email compromise

Business email compromise er den endelige sjefen blant digitale angrep. Det involverer vanligvis store selskaper og svimlende pengesummer. 

I 2019 mistet en av Toyotas største leverandører titalls millioner i én enkelt overføring. Angriperen brøt seg inn i e-postsystemet til Toyota Boshoku. De leste meldinger og lærte hvordan selskapet kommuniserte. Da en stor pengeoverføring kom opp i samtalen, ba de noen i selskapet med myndighet til å flytte penger om å oppdatere bankkontodetaljene for overføringen. Det så legitimt ut, og pengene ble sendt.

Akkurat sånn, 37 millioner dollar, borte.

Typer business email compromise-angrep

Ikke alle eksempler på business email compromise ser like ut. Målet er selvsagt alltid å lure folk til å overføre så mye penger som mulig, men fremgangsmåten kan være veldig forskjellig.

CEO-svindel (etterligning av ledere)

Dette er den mest kjente formen for BEC. En angriper utgir seg for å være en toppleder, vanligvis en CEO eller CFO, og presser noen i økonomiavdelingen til å flytte penger. Det fungerer på grunn av maktdynamikken. Når sjefen vil ha noe, stopper de fleste ikke opp for å spørre hvorfor. Hvis dette så kombineres med en troverdig bakgrunnshistorie, er det nok til å få noen til å handle uten å tenke seg om to ganger.

Kompromittering av leverandør-e-post

Angripere retter seg mot relasjoner utenfor selskapet i stedet for å late som de er noen på innsiden. De går etter betrodde leverandører og selgere, sniker seg inn i eksisterende e-postsamtaler og bytter ut ekte betalingsdetaljer med sine egne. Fra offerets side ser det ut som en rutinemessig oppdatering av en faktura fra en leverandør de har jobbet med i årevis.

Kontoovertakelse

Dette er den farligste varianten fordi det ikke er noen forfalskning involvert. Angriperen bruker den ekte kontoen. E-posten kommer fra en ekte adresse og bruker riktig tone. Meldingen ser helt normal ut, fordi den teknisk sett er det.

Omdirigering av lønnsutbetaling

Denne retter seg ikke mot selskapets penger. I stedet retter den seg mot de ansatte. Angripere utgir seg for å være HR eller en ansatt og ber om en oppdatering av lønnsutbetalingen, og omdirigerer stille og rolig en lønn til en konto de kontrollerer. 

Offeret finner det ikke ut før lønningsdag, og fordi beløpene er mindre og forespørselen ser normal ut, utløser det sjelden en svindelalarm. Det er en langsommere versjon av BEC, men rammer det nok ansatte, blir det fort mye.

BEC vs phishing – Hva er forskjellen?

Phishing-e-poster har eksistert lenge, og de fleste vet hvordan en slik ser ut. Det er den som forteller deg at du har vunnet en premie, eller at en nigeriansk prins trenger hjelpen din. De sendes ut i stort antall og er avhengige av ren mengde for å ta noen på senga.

Der phishing er et nett, er BEC en snikskytter. Angripere bruker uker på å undersøke ett selskap, noen ganger én bestemt person. Når e-posten først lander, ser den ut som en tirsdagsmorgenmelding fra noen du kjenner.

Phishing er vanligvis ute etter innloggingsopplysningene dine, men BEC hopper helt over det steget og går rett etter pengene eller dataene.

Slik oppdager du et business email compromise-angrep

BEC-angrep er laget for å se normale ut. Men hvis du vet hva du skal se etter, er tegnene der.

  • Hastverket— En e-post som presser deg til å flytte penger raskt, uten rom for å stoppe opp og verifisere.

  • Den plutselige endringen — En leverandør eller kollega har plutselig oppdatert betalingsinformasjonen sin helt ut av det blå.

  • Den nesten riktige adressen — Avsenderens e-post er bare ett tegn unna den ekte.

  • Tonen som bare er litt feil— Noe føles feil, for formelt, for uformelt eller merkelig hemmelighetsfullt.

  • Forespørselen som kommer ut av ingenting — Du blir bedt om å gjøre noe som normalt ville gått gjennom en annen kanal.

Slik forhindrer du et business email compromise-angrep

Å vite hvordan disse angrepene fungerer, er halve kampen. Den andre halvdelen er å sørge for at virksomheten din ikke er et lett mål.

Ta telefonen

Hvis en e-post ber deg om å overføre penger eller oppdatere betalingsdetaljer, ikke svar på den. Ring personen direkte ved å bruke et nummer du allerede har, ikke det som står i e-posten. Det tar tretti sekunder, og det er det mest effektive enkelttiltaket du kan gjøre.

Slå på tofaktorautentisering

Hvis en angriper får tak i noens innloggingsopplysninger, kan 2FA blokkere en full overtakelse av innboksen. Det stopper ikke alt, men det gjør kontokompromittering betydelig vanskeligere.

Lær teamet ditt hvordan det gode ser ut

Regelmessig opplæring i hva BEC er, hvordan det fungerer, og hvordan faresignalene ser ut, kan gjøre de ansatte til en forsvarslinje.

La verktøyene dine gjøre noe av grovarbeidet

Spamfiltre og verktøy for domeneautentisering som SPF, DKIM, and DMARC kan filtrere ut BEC-forsøk før de når teamet ditt. AI-basert deteksjon går et skritt videre. Den lærer hvordan normal e-postatferd ser ut i organisasjonen din og flagger alt som virker mistenkelig.

Ofte stilte spørsmål

Business email compromise er når en kriminell utgir seg for å være noen du stoler på via e-post for å lure deg til å sende penger eller dele sensitiv informasjon. Angripere sender en overbevisende e-post som speiler tonen i selskapets e-poster og til og med kommer fra en e-postadresse i selskapet.

De er beslektet, men ikke det samme. Phishing kaster et bredt nett og sender generiske e-poster til så mange som mulig. BEC-angrep er målrettede. Angripere undersøker et bestemt selskap, en bestemt person og et bestemt tidspunkt. Resultatet er langt mer overbevisende og langt mer kostbart.

De fleste business email compromise-svindler starter med research. Angripere studerer strukturen og kommunikasjonen i et selskap. Når de vet nok, forfalsker de enten en betrodd e-postadresse eller tar over en ekte.

CEO-svindel. En angriper utgir seg for å være en toppleder og presser noen i økonomiavdelingen til å overføre penger raskt. Det fungerer fordi de fleste ikke stiller spørsmål ved en hastesak fra sjefen.

Ja. Beskyttelse mot business email compromise starter med mennesker. Lær teamet ditt å oppdage faresignalene, verifisere betalingsforespørsler per telefon og bruke verktøy som 2FA og DMARC for å gjøre e-posten din vanskeligere å kompromittere. Ingen enkelt tiltak er idiotsikkert, men den rette kombinasjonen gjør deg til et langt vanskeligere mål.


Foreslåtte artikler

Del dine tanker

Mer enn 10 tegn kreves.
Din identitet for offentlig visning.
Å oppgi e-postadressen din er valgfritt. Den vil ikke bli delt med tredjeparter.

Hjelp oss å forbedre bloggen vår

Del dine tanker i en rask undersøkelse på to minutter.

En gyldig e-postadresse er påkrevd