Der jährliche Internet Crime Report des Federal Bureau of Investigation für 2019 enthielt 467.361 Beschwerden über mutmaßliche Internetkriminalität mit Verlusten von 3,5 Milliarden US-Dollar. Von diesen Fällen waren 23.775 geschäftliche E-Mail-Kompromisse (BEC). 1,7 Milliarden US-Dollar oder etwa die Hälfte der Gesamtverluste im Jahr 2019 entfielen auf generische EAC-Beschwerden (E-Mail Account Compromise).

Die Rückseite der Serviettenmathematik ist nicht schön. Unter Berücksichtigung von Unwissbaren sprechen wir von einem Baseballstadion von ungefähr 75.000 USD pro BEC-bezogener Beschwerde. Das ist exponentiell teurer als andere Cyber-Events. Bedenken Sie, dass die durchschnittlichen Kosten für einen Ransomware-Angriff gegen ein Unternehmen etwa 4.400 US-Dollar betragen und Ihr gewöhnlicher Phishing-Vorfall weniger als 500 US-Dollar kostet. Am wichtigsten ist vielleicht, dass die Zahlen des FBI-Berichts für 2019 deutlich höher sind als die im Vorjahr gemeldeten BEC-Betrugsverluste in Höhe von 1,3 Milliarden US-Dollar.

Während BEC-Betrug die höchsten finanziellen Auswirkungen hatte, ist es wert, andere zu erwähnen Betrug hatte die höchste Anzahl gemeldeter Vorfälle im Jahr 2019 mit 114.702 Opfern und 57 Millionen US-Dollar Schadenersatz, gefolgt von 38.218 Berichten über Verstöße gegen personenbezogene Daten und 16.053 Berichten über Identitätsdiebstahl: Die Gesamtmenge der Betrüger betrug 120 Millionen US-Dollar bzw. 160 Millionen US-Dollar.

Ist BEC nicht nur eine andere Form von Phishing?

BEC hat ein Zuhause im Pantheon der Dinge. BEC, auch als „CEO-Betrug“ und „W2-Betrug“ bekannt, ist eine sehr schädliche Form des Phishing – eine, die die Walfangmethode abschneidet, bei der das Ziel des Hackers darin besteht, einen Mitarbeiter der C-Suite dazu zu bringen, auf einen Link zu klicken oder einen zu öffnen Anhang. BEC dreht die Walfangmethode um, fälscht die E-Mail eines höheren Unternehmens und sendet eine dringende Mitteilung an jemanden, der in der Lage ist, Geld zu überweisen. Aber es nimmt andere Formen an. Bei der Variante W2 fordert ein Bürger der c-suite alle W2 von der Personalabteilung oder dem Rechnungswesen an und sammelt so eine umfangreiche Datei mit persönlich identifizierbaren Informationen, die zur Begehung von Steuerbetrug sowie aller Streifen von Identitätsdiebstahl verwendet werden können .

„BEC / EAC ist ein hochentwickelter Betrug, der sich sowohl an Unternehmen als auch an Einzelpersonen richtet, die einen Geldtransfer durchführen“, erklärte der Bericht. „Der Betrug wird häufig ausgeführt, wenn ein Betreff legitime geschäftliche E-Mail-Konten durch Social Engineering oder Computer-Intrusion-Techniken gefährdet, um nicht autorisierte Geldtransfers durchzuführen.“

Der Bericht warnte davor, dass die Methoden, mit denen Hacker BEC-Betrug begehen, immer komplizierter und schwieriger zu erkennen seien.

„BEC / EAC entwickelt sich ständig weiter, da Betrüger immer ausgefeilter werden … BEC / EAC-Betrug begann routinemäßig mit dem Hacken oder Spoofing der E-Mail-Konten von Chief Executive Officers oder Chief Financial Officers, und es wurden betrügerische E-Mails gesendet, in denen um Überweisung gebeten wurde Betrügerische Standorte Im Laufe der Jahre entwickelte sich der Betrug zu Kompromissen bei persönlichen E-Mails, Kompromissen bei Lieferanten-E-Mails, gefälschten E-Mail-Konten von Anwälten, Anfragen nach W-2-Informationen, der Ausrichtung auf den Immobiliensektor und betrügerischen Anfragen nach großen Geschenkmengen Karten „, heißt es in dem Bericht.

In dem Bericht wurde auch ein Anstieg der BEC-Betrugsfälle festgestellt, die 2019 auf Gehaltsabrechnungsfonds abzielten.

„Bei dieser Art von System erhält die Personal- oder Gehaltsabteilung eines Unternehmens eine E-Mail von einem Mitarbeiter, der anscheinend die Aktualisierung seiner Direkteinzahlungsinformationen für den aktuellen Zahlungszeitraum anfordert. Die neuen Direkteinzahlungsinformationen werden im Allgemeinen an ein Prepaid-Kartenkonto weitergeleitet . „

Ein Lichtblick in dem Bericht war das erste volle Betriebsjahr des Recovery Asset Team (RAT) des IC3, das gegründet wurde, um Opfern von BEC-Programmen zu helfen, gestohlene Gelder zurückzubekommen. Als Verbindungsstelle zwischen Strafverfolgungs- und Finanzinstituten hat die RAT bereits die Rückforderung von mehr als 304 Millionen US-Dollar der 384 Millionen US-Dollar ermöglicht, die 2019 bei 1.307 Vorfällen gestohlen wurden.

Lassen Sie sich jedoch nicht von der Wiederherstellungsrate von 79% in ein falsches Sicherheitsgefühl wiegen. Der Verlust von Zeit, Mitarbeiterfokus und Geschäftsmöglichkeiten kann katastrophal sein. Dies ist die Folge eines Angriffs und ein weiterer Grund, warum kein Unternehmen ohne eine solide Cyber-Versicherungspolice auskommen sollte.

Es ist Zeit, etwas zu tun

Das FBI warnt Unternehmen, gemeinnützige Organisationen und Regierungen regelmäßig vor den Gefahren, die von BEC-Betrug ausgehen.

Im September 2019 gab das Präsidium bekannt, dass sich die Verluste durch BEC-Betrug zwischen Mai 2018 und Juli 2019 verdoppelt hatten. Kurz darauf folgte eine weltweite Durchsetzung Betrieb Dazu gehörten die Zusammenarbeit des US-Justizministeriums, des US-Heimatschutzministeriums, des US-Finanzministeriums, des US-Postinspektionsdienstes und des US-Außenministeriums. Es führte zu 281 Festnahmen weltweit und 74 Festnahmen in den Vereinigten Staaten – alles wegen BEC-bezogener Straftaten.

„Die verheerenden Auswirkungen dieser Fälle auf Opfer und Opferunternehmen betreffen nicht nur das einzelne Unternehmen, sondern auch die Weltwirtschaft“, schrieb das US-Justizministerium über die Operation.

Trotz dieser Bemühungen wird erwartet, dass die Verluste durch BEC-Betrug im Jahr 2020 weiter steigen werden.

Das FBI und die IC3 bieten Anleitungen für Opfer von BEC-Betrug. Hier ist die To-Do-Liste nach dem BEC:

  • Wenden Sie sich an das ursprüngliche Finanzinstitut, sobald ein Betrug festgestellt wurde.

  • Reichen Sie eine detaillierte Beschwerde auf der IC3-Website ic3.gov ein.

  • Besuchen Sie ic3.gov regelmäßig, um öffentliche Bekanntmachungen zu BEC-Tendenzen zu erhalten.

  • Überprüfen Sie alle Zahlungsgebühren mit dem vorgesehenen Empfänger.

Am wichtigsten ist, dass das FBI Opfer von Cyberkriminalität ermutigt, weiterhin Berichte bei den Strafverfolgungsbehörden einzureichen.

„Informationen, die dem IC3 gemeldet werden, helfen dem FBI, die Cybergegner und die Motive hinter ihren Aktivitäten besser zu verstehen. Gemeinsam hoffen wir, eine sicherere und sicherere Cyberlandschaft zu schaffen, die Vertrauen gewährleistet, wenn wir durch eine digital vernetzte Welt reisen.“ schloss die Eröffnungsbotschaft des Berichts des stellvertretenden Direktors der FBI Cyber ​​Division, Matt Gorham.

Obwohl es keine Lösung für die Geißel von E-Mail-bezogenen Verbrechen gibt, können wir alle dazu beitragen, Verhaltensweisen in die Praxis umzusetzen, die es den Betrügern erschweren, erfolgreich zu sein. Die Schaffung einer allgemeinen Arbeitskultur, in der Vorsicht geboten ist, ist die erste Aufgabe. In einem Arbeitsumfeld, in dem die Gefahren vielfältig und mehr oder weniger ununterbrochen sind, muss ein kultureller Wandel stattfinden. Wir müssen immer davon ausgehen, dass ein Betrug im Gange ist, und entsprechend vorgehen. Unser Motto: „Misstrauen UND verifizieren.“ Eine Kultur der Vorsicht war noch nie so wichtig.

Veröffentlicht am: 14. Februar 2020



Quelle: Inc.com

Categories: Business

0 Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

%d Bloggern gefällt das: