Nola saihestu BEC iruzurra eta nola mantendu seguru zure posta elektroniko enpresariala

BEC iruzurra (Business Email Compromise, ingelesez) ziberdelitu oso espezializatu mota bat da, eta iruzurrezko mezu elektronikoak erabiltzen ditu erakundeak eta langileak engainatzeko, funtsak edo informazio sentikorra lortzeko helburuarekin. Iruzur mota hori mehatxu nabarmena bihurtu da mundu osoko enpresentzat, segurtasun-neurri tradizionalak saihesteko duten gaitasunagatik eta arrakasta-tasa handiagatik, finantza-kalteari dagokionez. Ziberdelitugileek exekutibo baten, langile baten, enpresa bateko konfiantzazko hornitzaile edo bezero baten identitatea ordezten dute, beste langile batzuk engainatzeko eta hala dirua transferitzeko edo informazio konfidentziala emateko.

BEC iruzur motak

Hainbat BEC iruzur mota daude, eta, beraz, kontuz ibili behar da horiekin guztiekin. Artikulu honetan honako hauek nabarmendu nahi ditugu:

• CEOaren iruzurra: Delitugileak maila altuko langile bati mezu elektroniko bat bidaltzen dio, enpresako CEOaren itxurak eginez. Postak banku-transferentzia urgentea egiteko edo informazio konfidentziala emateko eskatzen dio. Langileak, CEOaren jarraibideak betetzen ari delakoan, eskaera betetzen du.
• Hornitzaileen iruzurra: Iruzurgileak mezu elektroniko bat bidaliko dio kontabilitate-saileko langile bati, bere burua hornitzaile legitimo batentzat aurkeztuz. Postak faktura aldatua du, gehienetan benetako hornitzailearena, baita ohiko kontzeptuekin ere, baina ordaintzeko banku-kontua aldatu da. Langileak, informazioa egiaztatu gabe, gaizkilearen kontura egingo du ordainketa.
• Posta-kontuaren konpromisoa (EAC): Erasotzaileak enpresako langile edo exekutibo baten posta elektronikoko kontura sartzeko aukera lortzen du. Konprometitutako kontua erabiltzen du beste langile, bezero edo hornitzaile batzuei iruzurrezko emailak bidaltzeko, konprometitutako posta-kontuan aurkitzen dituen bidezko mezu-hariak baliatuz.
• Abokatuaren iruzurra: Iruzurgileak mezu elektroniko bat bidaltzen dio langile bati, eta enpresako abokatu baten itxura egiten du. Bertan, premiazko lege-gai bati buruzko informazioa ematen dio, eta berehalako ordainketa egiteko edo informazio konfidentziala emateko eskatzen dio. Langilea kezkatuta dago legezko gai bat delako, eta eskaerak betetzen ditu.
• Informatika-sailaren iruzurra: Delitugileak mezu bat bidaltzen dio langile bati, informatika-saileko ordezkari baten itxura eginez. Bertan, bere informazio pertsonala eguneratzeko edo web atari batera sartzeko esteka batean klik egiteko eskatzen dio. Langileak esteka irekitzen duenean edo bere informazioa ematen duenean, iruzurgileak bere datu pertsonalak lapurtzen ditu edo bere gailua malware edo ransomware bidez infektatzen du.

Ondorioak

BEC iruzurrak ondorio latzak izan ditzake hori jasaten duten enpresa eta erakundeentzat, bai ekonomiari, bai izen onari eta legalei dagokienez. Hauek dira nabarmenenak.

Galera finantzarioak

• Iruzurrezko banku-transferentziak: Diru-kopuru handiak galtzea, erasotzaileek kontrolatutako kontuetara egindako banku-transferentzien ondorioz.
• Ordainketa-datuen lapurreta: Iruzurgileek kreditu-txartelei, banku-kontuei eta beste ordainketa-metodo batzuei buruzko informazioa lor dezakete, eta horrek iruzurrak eta baimendu gabeko karguak eragin ditzake.

Ospeari egindako kalteak

• Konfiantza galtzea: Bezeroen eta hornitzaileen konfiantza gal dezake, eta horrek kalte egin diezaioke haien ospeari, eta eragin negatiboa izan dezake epe ertainean merkataritza-harremanetan.
• Marka-irudiari egindako kaltea: BEC eraso bati lotutako publizitate negatiboak enpresaren marka-irudia kaltetu dezake, eta bezero, bazkide eta langile berriak ere erakartzea zaildu.

Legezko ondorioak

• Zigorrak eta isunak: Enpresek zigorrak eta isunak jaso ditzakete datuen segurtasunari eta zibersegurtasunari buruzko araudiak ez betetzeagatik.
• Legezko demandak: Eragindako bezeroek, bazkideek edo langileek legezko demandak aurkez ditzakete enpresaren aurka, funtsak edo informazio pertsonala galtzeagatik.
• Auditoretzak eta berrikuspenak: Gobernu-agentziek auditoretza eta berrikuspen sakonak egin ditzakete intzidentearen arrazoia zehazteko eta enpresaren segurtasun-neurriak ebaluatzeko.

Prebentzioa

Aurrerago aipatutako guztiagatik, oso garrantzitsua da modu eraginkorrean babestea enpresa-posta elektronikoaren aurkako erasoetatik, bai enpresentzat, bai langileentzat.

Enpresentzat

• Segurtasun-neurriak ezartzea: Posta elektronikoko iragazkiak, bi faktoreko autentifikazioa, faktore anitzeko autentifikazioa (MFA) eta langileentzako prestakuntza BEC iruzurrei buruz.
• Protokolo argiak ezarri: Ordainketak onartzeko eta banku-kontuei buruzko informazioa aldatzeko.
• Enplegatuak hezi: BEC iruzurrari buruzko kontzientzia sortzea eta nola identifikatzen irakastea. Zibersegurtasunari buruz heztea eta phishing-simulazioak egitea, erasoak detektatzeko eta prebenitzeko.

Langileentzat

• Kontuz urgentziazko emailekin: Ez fidatu berehalako ordainketa-eskaerekin, banku-kontuetako informazioa aldatzearekin edo isilpeko informazioa zabaltzearekin.
• Igorlearekin harremanetan jarri beste bide batetik: Zerbait susmagarria iruditzen bazaizu, baieztatu eskaera ustezko igorlearekin telefonoz edo aurrez aurre.
• Egiaztatu posta-helbidea: Iruzurgileek benetakoen antzeko helbideak erabil ditzakete, baina ez dira benetakoak.
• Ez ireki estekarik edo erantsitako fitxategirik: Malwarea, ransomwarea edo iruzurrezko dokumentuak izan ditzakete.
• Salatu email susmagarriak: Jakinarazi enpresako segurtasun informatikoko departamentuari.

BEC iruzurra mehatxu etengabea da mundu osoko enpresentzat, eta eraso asko eragiten ditu egunero, nahiz eta albisteetan kasurik nabarmenenak baino ez izan. Ingeniaritzako sozialeko eta nortasuna ordezteko teknika sofistikatuen konbinazioaren bidez, erasotzaileek ohiko defentsa zibernetiko asko saihestea lortzen dute. BECaren helburu nagusia konpainiako langileei edo bezeroei iruzur egitea izan ohi bada ere, posta-kontu baten konpromisoa atzeko ate bat izan daiteke eraso sofistikatuagoak egin ahal izateko, hala nola malware-hedapena, eta horrek, aldi berean, Ransomware, APT eta antzeko ondorioak ekar ditzake.

Horregatik, gure burua babestu eta erasoak saihestu behar ditugu, eta, aldi berean, langileak hezi eta kontzientziatu behar dira zibersegurtasunaren garrantziaz. Iruzur mota horri buruz gehiago jakin nahi baduzu, Cyberzaintzaren webgunean egin dezakezu..