Thỏa hiệp email doanh nghiệp (BEC) là một trong những tội phạm trực tuyến gây thiệt hại tài chính lớn nhất. Nó khai thác thực tế là hầu hết chúng ta đều dựa vào email để tiến hành cả công việc cá nhân và chuyên nghiệp.
Trong cách thức lừa đảo BEC, còn được gọi là xâm phạm tài khoản email (EAC), tội phạm sẽ gửi một email có vẻ như đến từ một nguồn đã biết để đưa ra yêu cầu hợp pháp, như trong các ví dụ sau:
+ Nhà cung cấp mà công ty bạn thường xuyên giao dịch sẽ gửi hóa đơn có địa chỉ gửi thư mới nhất.
+ Một giám đốc điều hành công ty yêu cầu trợ lý của mình mua hàng chục thẻ quà tặng để gửi đi làm phần thưởng cho nhân viên. Cô ấy yêu cầu số sê-ri để có thể gửi email ngay lập tức.
+ Người mua nhà nhận được tin nhắn từ công ty quản lý nhà với hướng dẫn về cách chuyển khoản thanh toán trước.
Những phiên bản của kịch bản này đã xảy ra với nạn nhân thực sự... nhưng tất cả các tin nhắn đều là giả mạo.
Và trong mỗi trường hợp, hàng nghìn, thậm chí hàng trăm nghìn đô la đã được gửi đến tay bọn tội phạm.
Lừa đảo BEC hoạt động như thế nào
Bọn tội phạm lừa đảo có thể:
* Giả mạo tài khoản email hoặc trang web. Một số biến thể nhỏ của địa chỉ hợp lệ ([email protected] so với [email protected]) đánh lừa nạn nhân nghĩ rằng tài khoản giả là xác thực.
* Gửi email lừa đảo. Những tin nhắn này trông giống như chúng đến từ một người gửi đáng tin cậy để lừa nạn nhân tiết lộ thông tin bí mật. Thông tin đó cho phép tội phạm truy cập vào tài khoản công ty, lịch và dữ liệu cung cấp cho chúng thông tin chi tiết cần thiết để thực hiện các chương trình BEC.
* Sử dụng phần mềm độc hại. Phần mềm độc hại có thể xâm nhập vào mạng công ty và truy cập vào các chuỗi email hợp pháp về thanh toán và hóa đơn. Thông tin đó được sử dụng để tính thời gian yêu cầu hoặc gửi tin nhắn để kế toán viên hoặc nhân viên tài chính không thắc mắc về yêu cầu thanh toán. Phần mềm độc hại cũng cho phép tội phạm truy cập mà không bị phát hiện vào dữ liệu của nạn nhân, bao gồm mật khẩu và thông tin tài khoản tài chính.
Bảo vệ bản thân
* Hãy cẩn thận với thông tin bạn chia sẻ trực tuyến hoặc trên phương tiện truyền thông xã hội. Bằng cách chia sẻ công khai những thông tin như tâm trí, sở thích, thứ ghét, sự nghiệp, việc bạn bè, tên thú cưng, trường bạn đã theo học, liên kết đến các thành viên gia đình và ngày sinh của bạn, bạn có thể cung cấp cho kẻ lừa đảo tất cả thông tin họ cần để đoán mật khẩu hoặc trả lời câu hỏi bảo mật của bạn; thông qua dữ liệu tâm trí của bạn đã chia sẻ, bọn tội phạm lừa đảo sẽ có căn cứ để nghĩ đoán tất cả mật khẩu mà bạn có thể đã thiết lập.
* Đừng nhấp vào bất kỳ nội dung nào trong email hoặc tin nhắn văn bản không mong muốn yêu cầu bạn cập nhật hoặc xác minh thông tin tài khoản. Hãy tự mình tra cứu số điện thoại của công ty (không sử dụng số mà kẻ lừa đảo tiềm năng cung cấp) và gọi đến công ty để hỏi xem yêu cầu đó có hợp pháp không.
* Kiểm tra cẩn thận địa chỉ email, URL và chính tả được sử dụng trong bất kỳ thư từ nào. Kẻ lừa đảo sử dụng những điểm khác biệt nhỏ để đánh lừa ngũ nhãn của bạn và chiếm được lòng tin của bạn; khi chiếm được lòng tin của các bạn thì bọn tội phạm có thể thực hiện nhiều mưu đồ bất chính, xấu xa, ác độc.
* Hãy cẩn thận với những gì bạn tải xuống. Không bao giờ mở tệp đính kèm trong email từ người mà bạn không biết, từ thư lạ và hãy cảnh giác với các tệp đính kèm trong email được chuyển tiếp cho bạn. Luôn dùng phần mềm scan, diệt virus để quét tệp, phần mềm trước khi mở.
* Thiết lập xác thực hai yếu tố (hoặc đa yếu tố) trên bất kỳ tài khoản nào cho phép và không bao giờ tắt tính năng này. Kẻ lừa đảo có thể yêu cầu phỉnh dụ lừa bạn tắt những tính năng này vì những lý do như rườm rà, tốn thêm time,... nên hãy cẩn thận đừng bao giờ tắt tính năng này.
* Xác minh yêu cầu thanh toán và mua hàng trực tiếp nếu có thể hoặc gọi điện cho người đó để đảm bảo yêu cầu đó là hợp lệ. Bạn nên xác minh bất kỳ thay đổi nào về số tài khoản hoặc quy trình thanh toán với người đưa ra yêu cầu. Kẻ lừa đảo có thể kẻ ở đầu dây điện thoại bạn gọi nên hãy đến cửa hiệu để xác minh yêu cầu; bọn tội phạm sử dụng các kỹ thuật để thay đổi cài đặt chuyển tiếp cuộc gọi trên hệ thống điện thoại của cơ quan đó; điều này có nghĩa là khi bạn gọi đến số điện thoại chính thức, cuộc gọi sẽ được chuyển hướng đến số điện thoại do tội phạm kiểm soát. Kẻ lừa đảo có thể lập cửa hiệu fake giống y chang cửa hiệu thật nên bạn phải thêm bước xác minh cửa hiệu với cơ quan chính quyền.
* Đặc biệt cẩn thận nếu người yêu cầu thúc ép bạn phải hành động nhanh chóng.
Source: https://www.fbi.gov/how-we-can-help...on-frauds-and-scams/business-email-compromise
Trong cách thức lừa đảo BEC, còn được gọi là xâm phạm tài khoản email (EAC), tội phạm sẽ gửi một email có vẻ như đến từ một nguồn đã biết để đưa ra yêu cầu hợp pháp, như trong các ví dụ sau:
+ Nhà cung cấp mà công ty bạn thường xuyên giao dịch sẽ gửi hóa đơn có địa chỉ gửi thư mới nhất.
+ Một giám đốc điều hành công ty yêu cầu trợ lý của mình mua hàng chục thẻ quà tặng để gửi đi làm phần thưởng cho nhân viên. Cô ấy yêu cầu số sê-ri để có thể gửi email ngay lập tức.
+ Người mua nhà nhận được tin nhắn từ công ty quản lý nhà với hướng dẫn về cách chuyển khoản thanh toán trước.
Những phiên bản của kịch bản này đã xảy ra với nạn nhân thực sự... nhưng tất cả các tin nhắn đều là giả mạo.
Và trong mỗi trường hợp, hàng nghìn, thậm chí hàng trăm nghìn đô la đã được gửi đến tay bọn tội phạm.
Lừa đảo BEC hoạt động như thế nào
Bọn tội phạm lừa đảo có thể:
* Giả mạo tài khoản email hoặc trang web. Một số biến thể nhỏ của địa chỉ hợp lệ ([email protected] so với [email protected]) đánh lừa nạn nhân nghĩ rằng tài khoản giả là xác thực.
* Gửi email lừa đảo. Những tin nhắn này trông giống như chúng đến từ một người gửi đáng tin cậy để lừa nạn nhân tiết lộ thông tin bí mật. Thông tin đó cho phép tội phạm truy cập vào tài khoản công ty, lịch và dữ liệu cung cấp cho chúng thông tin chi tiết cần thiết để thực hiện các chương trình BEC.
* Sử dụng phần mềm độc hại. Phần mềm độc hại có thể xâm nhập vào mạng công ty và truy cập vào các chuỗi email hợp pháp về thanh toán và hóa đơn. Thông tin đó được sử dụng để tính thời gian yêu cầu hoặc gửi tin nhắn để kế toán viên hoặc nhân viên tài chính không thắc mắc về yêu cầu thanh toán. Phần mềm độc hại cũng cho phép tội phạm truy cập mà không bị phát hiện vào dữ liệu của nạn nhân, bao gồm mật khẩu và thông tin tài khoản tài chính.
Bảo vệ bản thân
* Hãy cẩn thận với thông tin bạn chia sẻ trực tuyến hoặc trên phương tiện truyền thông xã hội. Bằng cách chia sẻ công khai những thông tin như tâm trí, sở thích, thứ ghét, sự nghiệp, việc bạn bè, tên thú cưng, trường bạn đã theo học, liên kết đến các thành viên gia đình và ngày sinh của bạn, bạn có thể cung cấp cho kẻ lừa đảo tất cả thông tin họ cần để đoán mật khẩu hoặc trả lời câu hỏi bảo mật của bạn; thông qua dữ liệu tâm trí của bạn đã chia sẻ, bọn tội phạm lừa đảo sẽ có căn cứ để nghĩ đoán tất cả mật khẩu mà bạn có thể đã thiết lập.
* Đừng nhấp vào bất kỳ nội dung nào trong email hoặc tin nhắn văn bản không mong muốn yêu cầu bạn cập nhật hoặc xác minh thông tin tài khoản. Hãy tự mình tra cứu số điện thoại của công ty (không sử dụng số mà kẻ lừa đảo tiềm năng cung cấp) và gọi đến công ty để hỏi xem yêu cầu đó có hợp pháp không.
* Kiểm tra cẩn thận địa chỉ email, URL và chính tả được sử dụng trong bất kỳ thư từ nào. Kẻ lừa đảo sử dụng những điểm khác biệt nhỏ để đánh lừa ngũ nhãn của bạn và chiếm được lòng tin của bạn; khi chiếm được lòng tin của các bạn thì bọn tội phạm có thể thực hiện nhiều mưu đồ bất chính, xấu xa, ác độc.
* Hãy cẩn thận với những gì bạn tải xuống. Không bao giờ mở tệp đính kèm trong email từ người mà bạn không biết, từ thư lạ và hãy cảnh giác với các tệp đính kèm trong email được chuyển tiếp cho bạn. Luôn dùng phần mềm scan, diệt virus để quét tệp, phần mềm trước khi mở.
* Thiết lập xác thực hai yếu tố (hoặc đa yếu tố) trên bất kỳ tài khoản nào cho phép và không bao giờ tắt tính năng này. Kẻ lừa đảo có thể yêu cầu phỉnh dụ lừa bạn tắt những tính năng này vì những lý do như rườm rà, tốn thêm time,... nên hãy cẩn thận đừng bao giờ tắt tính năng này.
* Xác minh yêu cầu thanh toán và mua hàng trực tiếp nếu có thể hoặc gọi điện cho người đó để đảm bảo yêu cầu đó là hợp lệ. Bạn nên xác minh bất kỳ thay đổi nào về số tài khoản hoặc quy trình thanh toán với người đưa ra yêu cầu. Kẻ lừa đảo có thể kẻ ở đầu dây điện thoại bạn gọi nên hãy đến cửa hiệu để xác minh yêu cầu; bọn tội phạm sử dụng các kỹ thuật để thay đổi cài đặt chuyển tiếp cuộc gọi trên hệ thống điện thoại của cơ quan đó; điều này có nghĩa là khi bạn gọi đến số điện thoại chính thức, cuộc gọi sẽ được chuyển hướng đến số điện thoại do tội phạm kiểm soát. Kẻ lừa đảo có thể lập cửa hiệu fake giống y chang cửa hiệu thật nên bạn phải thêm bước xác minh cửa hiệu với cơ quan chính quyền.
* Đặc biệt cẩn thận nếu người yêu cầu thúc ép bạn phải hành động nhanh chóng.
Source: https://www.fbi.gov/how-we-can-help...on-frauds-and-scams/business-email-compromise
