Investors & Startups: Thận trọng với BEC Scam!
Loại lừa đảo email (BEC - business email compromise) này tuy không quá mới hay tinh vi những vẫn hiệu quả, khi scammer dùng email giả mạo lãnh đạo công ty, khách hàng hoặc những người có quyền quyết định để yêu cầu tiền hoặc data của doanh nghiệp. Các hackers này trao đổi cực kỳ thuyết phục khiến nhân viên bị lừa, và nghe theo yêu cầu mà không mảy may nghi ngờ. Trong một báo cáo năm 2019, FBI thống kê quá nửa thất thoát do tội phạm mạng là do lừa đảo BEC, tổng thiệt hại ước tính khoảng $1.7 tỷ.

Không chỉ những doanh nghiệp start-up là nạn nhân. Gần đây Nikkei America đã mất $29 triệu khi một nhân viên chuyển khoản cho hacker vì nghĩ nhận được lệnh của một “lãnh đạo công ty”.
Khi hacker nghe tin một doanh nghiệp sắp nhận được khoản đầu tư, họ sẽ đột nhập vào hệ thống email của công ty để nghiên cứu các tin nhắn, hòng kéo khoản tiền về tài khoản cá nhân. Hacker sẽ đặc biệt quan tâm email giữa công ty và nhà đầu tư. Khi thu thập đủ thông tin và lựa chọn được thời điểm thích hợp, hacker sẽ yêu cầu chuyển khoản bằng email giả. Năm trước một nhóm nhà đầu tư ở Trung Quốc đã gặp phải loại lừa đảo này khi hacker nắm hết thông tin của giao dịch và tạo nên một domain giả mạo (khác biệt 1 chữ cái so với domain gốc), thương lượng với nhà đầu tư và cuối cùng là chốt deal. Nhóm các nhà đầu tư chỉ phát hiện đã bị lừa khi startup thật thông báo họ vẫn chưa nhận được tiền.
Lừa đảo BEC ngày càng phổ biến và tinh vi, thất thoát ngày càng nhiều. Vậy làm như thế nào để bảo vệ mình trước những cuộc tấn công? Chiến lược của hacker thông thường sẽ là:
Do thám và trang bị: hacker chọn một công ty và các lãnh đạo trong đó để mạo nhận, bắt đầu tạo những trang thông tin tương tự như nạn nhân.
Tấn công: hacker gửi email mạo nhận cho các nhân viên của công ty.
Lợi dụng: nhân viên công ty tương tác với các email giả và nhận lệnh của hacker.
Hành động theo mục đích: hacker nhận được tiền hoặc thông tin tuyệt mật từ nạn nhân.
Để bảo vệ doanh nghiệp từ BEC, doanh nghiệp cần lưu ý những bước sau:
Ngăn chặn mail mạo danh thâm nhập vào hệ thống từ ban đầu: doanh nghiệp cần hệ thống để chắc chắn email nhận được có nguồn gốc chính danh. Nguồn gốc của email cần được kiểm soát bằng các chuẩn như DKIM, DMARC v.v...
Quét lưu thông nội bộ: đôi khi email được gửi từ địa chỉ chính danh nhưng thực chất đã bị hack. Vì vậy các hệ thống bảo mật email cần phải tích cực lưu ý những hoạt động bất thường, và ngăn chặn các hành vi bị nghi ngờ. Các hệ thống bảo mật anti-phishing, anti-virus có thể hỗ trợ việc này.
Rèn luyện nhân viên kỹ năng chống BEC và email scams: mắt xích yếu nhất mà tội phạm mạng thường tấn công nhất chính là nhân viên của doanh nghiệp. Vì vậy doanh nghiệp cần phải dành thời gian để cập nhật thông tin cho nhân viên, cũng như xem xét và phát triển phương pháp quy trình chuẩn để chống tội phạm mạng.
Nguồn: Forbes