Business Email Compromise

הונאת אימייל עסקי - BEC

האיום הכלכלי המשמעותי ביותר על ארגונים

מהו BEC?

Business Email Compromise (BEC) היא סוג מתוחכם של התקפת פישינג שבה תוקפים מתחזים למנהלים בכירים, ספקים, או שותפים עסקיים במטרה לגרום להעברות כספים הונאתיות או לגניבת מידע רגיש.

בניגוד לפישינג רגיל שמופץ המונית, התקפות BEC הן ממוקדות מאוד ומבוססות על מחקר מעמיק של הארגון המטרה - מבנה ארגוני, שמות מנהלים, ספקים, שפה ארגונית, ותהליכים עסקיים.

לפי ה-FBI: BEC גרם לנזק של יותר מ-43 מיליארד דולר ברחבי העולם בין 2016-2021, והוא האיום הכלכלי המשמעותי ביותר על ארגונים.

המספרים המדאיגים

$43B

נזק גלובלי מהתקפות BEC (2016-2021)

177%

עלייה בהתקפות BEC בשנתיים האחרונות

$120K

העברה ממוצעת בהתקפת BEC מוצלחת

סוגי התקפות BEC

CEO Fraud

התחזות למנכ"ל או למנהל בכיר המבקש העברת כספים דחופה

דוגמה:

"מייל מזויף מ'המנכ"ל' למנהל הכספים: 'אנחנו באמצע עסקה סודית - העבר 500,000₪ לחשבון הזה עכשיו!'"

Account Compromise

פריצה לחשבון מייל לגיטימי ושימוש בו לשליחת בקשות הונאה

דוגמה:

"תוקף נכנס לחשבון מייל של מנהל ושולח מהחשבון האמיתי בקשה להעברת כספים"

Invoice Manipulation

שינוי פרטי חשבון בחשבוניות לגיטימיות של ספקים

דוגמה:

"תוקף מתערב בתכתובת עם ספק אמיתי ושולח חשבונית 'מעודכנת' עם פרטי חשבון שלו"

Attorney Impersonation

התחזות ליועץ משפטי או רואה חשבון חיצוני

דוגמה:

"מייל מזויף מ'משרד עורכי דין' המבקש העברת כסף לצורך סגירת עסקה דחופה"

Data Theft

בקשה למידע רגיש כמו דוחות שכר, טפסי W-2, או מידע פיננסי

דוגמה:

"מייל מזויף מ'מחלקת משאבי אנוש' המבקש רשימת עובדים עם פרטי בנק"

מקרי BEC מתועדים

Toyota

2019
$37M

עובד בסניף אירופי העביר 37 מיליון דולר לאחר שקיבל מיילים מזויפים המתחזים למנהלים בכירים ולשותף עסקי. התוקפים השתמשו בשינויים קלים בכתובות המייל שלא זוהו.

Facebook & Google

2013-2015
$100M

רוקח ליטאי הצליח לקחת 100 מיליון דולר מ-Facebook ו-Google על ידי התחזות לחברת Quanta Computer (ספק אמיתי). הוא שלח חשבוניות מזויפות במשך שנתיים והחברות שילמו ללא אימות.

Ubiquiti Networks

2015
$46.7M

תוקפים התחזו למנהלים בכירים ושכנעו את מחלקת הכספים להעביר 46.7 מיליון דולר ל'חשבונות חו"ל' במסווה של רכישה סודית.

איך להגן מפני BEC?

הגנה מפני BEC דורשת שילוב של טכנולוגיה, נהלים והדרכת עובדים

קריטי

אימות מרובה ערוצים

כל בקשה להעברת כספים מעל סכום מסוים חייבת להיות מאומתת בטלפון (ממספר ידוע מראש) או פנים-אל-פנים

קריטי

הפרדת סמכויות

שני אנשים לפחות חייבים לאשר העברות כספים - אף אחד לא יכול לאשר לבד

חובה

SPF, DKIM, DMARC

הטמעת פרוטוקולי אימות מייל למניעת זיוף כתובות

חשוב

הדרכות תרחישי BEC

סימולציות ספציפיות של BEC לעובדים במחלקות כספים, רכש והנהלה

חובה

תהליכים ברורים

נהלים פורמליים לשינוי פרטי חשבון של ספקים - אישור דרך ערוץ נפרד

מומלץ

ניטור חריגות

מערכות זיהוי העברות חריגות, יעדים חדשים, או סכומים גבוהים

הכינו את הארגון שלכם לאיום BEC

תרגילי הפישינג והסימולציות של PhishingU כוללים תרחישי BEC ממוקדים למחלקות כספים והנהלה

קבעו פגישת ייעוץ חינם

עדכוני אבטחה - ישירות למייל

מאמרים, כלים וטיפים מעולם הפישינג ואבטחת המידע