Schematy oszustw
Oszuści często uznają, że wiadomości e-mail to świetna droga ataku na pracowników większych i mniejszych firm, prywatnych i publicznych organizacji, z każdego sektora. Ataki typu BEC (ang. Business e-mail compromise) to rodzaj oszustwa, w którym atakujący wykorzystują socjotechnikę w celu pozyskania wrażliwych informacji o organizacji lub wyłudzenia przelewów na wysokie kwoty.
Cyberoszuści najczęściej wykorzystują następujące scenariusze:
Oszuści nieustannie pracują nad nowymi metodami działań. Dodatkowo, stosowana przez nich socjotechnika może być wzmocniona poprzez przejęcie oryginalnych wiadomości e-mail i wykorzystanie ich do manipulacji. Przejęcie tego typu wiadomości pozwala oszustom na kontynuowanie korespondencji (z wykorzystaniem adresu e-mail łudząco przypominającego poprawny) i/lub na weryfikowanie jaki styl języka jest wykorzystywany w komunikacji, np. czy rozmówcy zwracają się do siebie po imieniu, a następnie stworzenie wiarygodniejszych treści oszukańczych.
Jak ustrzec pracowników firmy przed oszustwem?
Kluczowe jest budowanie świadomości pracowników, np. poprzez regularne szkolenia i/lub informacje nt. bieżących oraz często występujących zagrożeń, na które narażeni jesteśmy my – jako użytkownicy Internetu, oraz my – jako pracownicy firm.
Co zrobić, jeżeli pracownik został oszukany?
W obu przypadkach warto zgłosić sprawę do organów ścigania poprzez złożenie zawiadomienia o popełnieniu przestępstwa. Niekiedy pracownicy, którzy zostali oszukani przez cyberoszustów, z powodu poczucia kompromitacji nie zgłaszają incydentu do osób decyzyjnych oraz osób odpowiedzialnych za kwestie cyberbezpieczeństwa w firmie w której są zatrudnieni. To niestety sprawia, że działania zabezpieczające dalsze skutki oszustwa lub możliwość naprawienia tego, co już się wydarzyło opóźnia się, a to działania na niekorzyść takiej firmy.