اگر چه این روزها رواج باجافزارهایی که موجب بروز اختلالات جدی در خدمات حیاتی کاربران شده و هدایتکنندگان آنها باجهای چند میلیون دلاری دریافت میکنند توجه جهانی را جلب کرده اما تهدید سایبری بسیار بزرگی وجود دارد که ضررهای مالی هنگفتتری هم داشته اما ظاهرا کسی دوست ندارد پرده از راز شرمآوری برآورد که به گفته افبیآی قربانیان آن تا به امروز مجبور به پرداخت 43 میلیارد دلار شدهاند.
Business Email Compromise یا حملات «نفوذ به ایمیل کسب و کار» که از آن با عنوان «کلاهبرداری مدیرعاملی» هم یاد میشود شاید جذابیت و هیاهوی حملات هکری را نداشته باشند اما رفتهرفته در حال تبدیل به بزرگترین تهدید سایبری هستند.
«رونی توکازوسکی»، یکی از مشاوران اصلی شرکت امنیتی Cofense در این رابطه میگوید: شکی نیست که حملات BEC بزرگترین تهدید امنیتی بینالمللیاند و شاهد قربانی شدن 90 درصد از کاربران سراسر دنیا توسط آنها هستیم.
حملات BEC با استفاده از تکنیکهای مهندسی اجتماعی و به منظور فریب قربانیان برای انتقال پول به حسابهای مجرمان سایبری انجام میشوند. در حملات BEC مجرمان خود را به جای همکار، مشتری، رئیس یا یک شریک تجاری جا زده تا پوششی کاملا امن برای عمل مجرمانه خود ایجاد کنند.
مجرمان سایبری حملات BEC را با دو روش اصلی پیاده میکنند. در روش اول ایمیلهایی از یک حساب جعلی شخصی که شما او را میشناسید ارسال و تقاضای انتقال پول مطرح میشود.
در روش دوم که پیچیدهتر است، حملات اقدام به سرقت نامهای کاربری و رمزعبورها کرده تا بتوانند وارد حسابهای ایمیل قانونی شده و سپس از طریق همین رد و بدل کردن پیام در حسابهای مذکور، درخواست پرداخت داده میشود. گاهی اوقات این فریب در خلال یک مکالمه واقعی اتفاق میافتد، که آن را کاملا منطقی و باورپذیر جلوه میدهد. به این نوع فریب، حمله سرقت مکالمه گفته میشود. تصور کنید که در حال رد و بدل کردن پیام با شخصی باشید و بدون این که از هک شدن حساب ایمیلتان مطلع باشید، هکر ابتکار عمل را در دست گرفته و به جای شما به طرف مقابلتان پیام داده و درخواست انتقال پول را مطرح کند! هیچ شکی نه برای شما و نه برای طرف دیگر مکالمه رخ نمیدهد و همه چیز عادی جلوه میکند.
در هر دو روش درخواست فوری انتقال پول مطرح میشود. در اغلب موارد برای توجیه این عجله، از به خطر افتادن معامله یا توافق صحبت شده و تاکید خاصی روی مخفی نگهداشتن آن میشود.
طبیعتا مبلغ پرداختی به حسابهای تحت کنترل مجرمان سایبری منتقل میشود و تا زمانی که افراد متوجه وجود مشکل شوند، کار بیرون کشیدن پول از حساب یا مصرف آن برای پولشویی به پایان رسیده است.
مبالغ پرداختی به مجرمان BEC اغلب چند صد هزار دلاری است. معمولا این پرداختها گزارش نمیشود چرا که بسیاری از کسبوکارهای قربانی شده این گونه فریبها را در قالب مسائل امنیت سایبری در نظر نمیگیرند؛ ضمنا از آن جایی که در این گونه حملات صحبت از دست دادن پول هست، بعد از گزارش، بخش مالی یک شرکت یا موسسه از مشکل پیش آمده مطلع میشود.
در حقیقت حملات BEC آن توجهی که به حملات سایبری میشود را تا کنون دریافت نکردهاند در حالی که ماهیت آنها کاملا امنیتی است. این حملات به تیمهای امنیتی گزارش نشده و شرح آنها در اختیار بخشهای مالی قرار میگیرد؛ در نهایت مدیرعامل از آنها مطلع شده و تبدیل به مسالهای مالی و نه امنیتی میشوند.
برای حل این مشکل بهتر است سرزنش قربانیان حملات BEC متوقف شده و از این پس تیمهای امنیتی مدیریت این گونه حملات را به عهده بگیرند.