43 mld dolarów w kieszeniach hakerów
FBI informuje, że w latach 2016-2021 oszustwa Business Email Compromise (BEC) spowodowały straty w wysokości 43 mld dolarów. Cybeprzestępcy stojący za tymi atakami coraz częściej wykorzystują kryptowaluty.
Statystyki zebrane przez FBI, organy ścigania, a także wnioski składane w instytucjach finansowych ujawniły w sumie 241 tys. incydentów w skali globalnej, które pozwoliły zarobić oszustom 43,3 mld dolarów. Co istotne, pomiędzy lipcem 2019 roku a grudniem 2021 roku nastąpił 65 proc. wzrost strat spowodowanych przez BEC. FBI ten gwałtowny skok przypisuje częściowo ograniczeniom nałożonym na normalne praktyki biznesowe podczas pandemii COVID-19. Wiele osób pracowało zdalnie, co sprawiało, że ich czujność na różnego rodzaju próby wyłudzeń była nieco uśpiona.
Oszustwa BEC dotyczą najczęściej sfery biznesowej oraz osób fizycznych dokonujących transferów środków finansowych. W lwiej części przypadków przestępcy tworzą wiadomości do złudzenia przypominającą autentyczną korespondencję, która najczęściej wygląda na wysłaną przez pracownika firmy lub bliskiego kontrahenta. Klasyczny przykład stanowi spreparowany e-mail od prezesa firmy do księgowego z poleceniem dokonania przelewu. Celem napastnika jest pozyskanie pieniędzy lub zdecydowanie rzadziej poufnych plików.
Oszustwo BEC zostało zgłoszone we wszystkich 50 stanach i 177 krajach, przy czym w ponad 140 krajach zrealizowano oszukańcze przelewy. Na podstawie danych finansowych zgłoszonych do FBI za 2021 rok banki zlokalizowane w Tajlandii i Hongkongu były głównymi międzynarodowymi odbiorcami oszukańczych funduszy. Chiny 2021 r. zajęły trzecie miejsce, a za nimi znalazły się Meksyk i Singapur.
FBI informuje też o stosunkowo nowym zjawisku jakim jest wykorzystywanie kryptowalut przez cyberprzestępców prowadzących kampanie BEC. Dzieje się tak, ponieważ transakcje realizowane za pomocą wirtualnych walut zapewniają anonimowość w przeciwieństwie do tradycyjnych przelewów bankowych.
- Najlepszym sposobem na zapobieganie tego typu incydentom jest użycie dodatkowych kanałów lub uwierzytelniania wieloskładnikowego, aby zweryfikować żądania dotyczące realizacji przelewów. Należy się też upewnić czy wiadomość e- jest wiarygodna. W tym celu warto sprawdzić dokładnie wszystkie łącza w niej zawarte, a także jej treść pod kątem występowania błędów gramatycznych oraz ortograficznych. Nie można też za pośrednictwem e-maila wysłać informacji umożliwiających identyfikację, a w szczególności danych dotyczących logowania - doradza Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.
Źródło: materiały prasowe