Незважаючи на багаторічні заяви про те, що "смерть електронної пошти" швидко наближається, цей спосіб комунікації, що існує десятиліттями, продовжує процвітати в бізнесі. Зокрема, у хакерському бізнесі.

Електронний лист, що містить посилання, яке виглядає легітимним, але насправді є шкідливим, залишається одним з найнебезпечніших, але успішних трюків у посібнику кіберзлочинців і призвів до деяких найбільших зломів за останні роки, включаючи злом комунікаційного гіганта Twilio у 2022 році та минулорічний злом платформи соціальних мереж Reddit.

Хоча такі листи іноді легко розпізнати, чи то через неправильний правопис, чи то через незвичну електронну адресу, стає дедалі важче відрізнити шахрайський лист від легітимного, оскільки тактика хакерів стає дедалі витонченішою.

Візьмемо, наприклад, компрометацію ділової електронної пошти (business email compromise, BEC) - тип атаки через електронну пошту, яка націлена на великі та малі організації з метою викрадення грошей, критично важливої інформації або і того, і іншого. У цьому типі шахрайства хакери видають себе за когось знайомого жертві, наприклад, за колегу, боса або ділового партнера, щоб маніпулювати ними і змусити їх несвідомо розкрити конфіденційну інформацію.

Ризик, який це становить для бізнесу, особливо для стартапів, неможливо переоцінити. За останніми даними ФБР, лише минулого року громадяни США втратили близько 3 мільярдів доларів через шахрайство, пов'язане з BEC. І ці атаки не демонструють жодних ознак сповільнення.

Використання цільового фішингу − коли хакери використовують персоналізовані фішингові електронні листи, які видають себе за керівників високого рівня всередині компанії або зовнішніх постачальників - означає, що майже неможливо визначити, чи надійшло повідомлення з надійного джерела. Якщо електронний лист здається незвичайним - або навіть якщо це не так - зв'яжіться безпосередньо з відправником, щоб підтвердити запит, замість того, щоб відповідати на будь-яку електронну пошту або будь-який номер телефону, вказаний в електронному листі.

Шахрайство з технічною підтримкою стає все більш поширеним явищем. У 2022 році клієнти Okta стали мішенню дуже складного шахрайства, коли зловмисники надсилали співробітникам текстові повідомлення з посиланнями на фішингові сайти, які імітували зовнішній вигляд сторінок входу в Okta їхніх роботодавців. Ці сторінки були настільки схожі на справжні, що понад 10 тисяч людей ввели свої робочі облікові дані. Швидше за все, ваш ІТ-відділ не збирається зв'язуватися з вами через SMS, тому якщо ви отримуєте випадкове текстове повідомлення зненацька або несподіване спливаюче сповіщення на вашому пристрої, важливо перевірити, чи це законно.

Кіберзлочинці вже давно використовують електронну пошту як свою зброю. Останнім часом злочинці покладаються на шахрайські телефонні дзвінки для злому організацій. Як повідомляється, один телефонний дзвінок призвів до минулорічного злому мережі готелів MGM Resorts після того, як хакери успішно обдурили службу підтримки компанії, що надала їм доступ до облікового запису співробітника. Завжди скептично ставтеся до несподіваних дзвінків, навіть якщо вони надходять від особи, яка виглядає законно, і ніколи не діліться конфіденційною інформацією.

Багатофакторна автентифікація!

Багатофакторна автентифікація, яка зазвичай вимагає введення коду, PIN-коду або відбитка пальця для входу в систему разом з іменем користувача та паролем регулятора, аж ніяк не є надійним захистом від зловмисників. Однак, додаючи додатковий рівень безпеки, окрім паролів, які можуть бути зламані, вона значно ускладнює кіберзлочинцям доступ до ваших електронних скриньок. Зробіть ще один крок до безпеки, впровадивши безпарольні технології, такі як апаратні ключі безпеки та ключі-паролі, які можуть запобігти крадіжці паролів і токенів сеансів шкідливими програмами, що викрадають інформацію.

Впроваджуйте суворіші платіжні процеси

При будь-якому типі кібератаки кінцевою метою злочинця є заробіток, а успіх BEC-шахрайства часто залежить від маніпуляцій з одним працівником, щоб змусити його надіслати банківський переказ. Деякі фінансово мотивовані хакери видають себе за постачальника, який вимагає оплати за послуги, надані компанії. Щоб зменшити ризик стати жертвою такого типу шахрайства, запровадьте суворі платіжні процеси: Розробіть протокол затвердження платежів, вимагайте, щоб співробітники підтверджували грошові перекази за допомогою другого засобу зв'язку, і попросіть свою фінансову команду повторно перевіряти кожну зміну реквізитів банківського рахунку.

Ви також можете проігнорувати це

Зрештою, ви можете мінімізувати ризик потрапити на більшість шахрайських схем, просто проігнорувавши спробу і рухаючись далі. Не впевнені на 100%, що ваш бос дійсно хоче, щоб ви пішли і купили подарункові картки на $500? Ігноруйте його! Отримали дзвінок, якого не очікували? Покладіть слухавку. Але заради безпеки вашої служби безпеки та допомоги колегам не мовчіть. Повідомте про спробу на своє робоче місце або в ІТ-відділ, щоб вони були в стані підвищеної готовності.