Skupiny podvodníků se snaží zneužít pandemie koronaviru a nárůstu práce z domova. Vydávají se za generální či finanční ředitele a pokouší se zmanipulovat bankovní transakce. Vyplývá to z analýz společnosti Check Point. Primárními cíli jsou organizace, u kterých jsou běžné velké finanční transakce, ať už se jedná o obchod s nemovitostmi a uměním, vlády nebo armády.
BEC (Business Email Compromise) označuje podvody, při kterých se útočníci snaží vydávat za někoho z vedení společnosti a přimět zaměstnance poslat peníze na podvodné účty. BEC podvod začíná hacknutím e-mailu a vydáváním se za vedoucí pracovníky, obvykle generálního ředitele nebo finančního ředitele. Kyberzločinci následně požadují zdánlivě legitimní firemní platbu. E-mail vypadá autenticky a zdá se, že pochází opravdu od někoho z vedení společnosti, takže zaměstnanec žádosti vyhoví a odešle peníze na bankovní účet, který je ovšem ve skutečnosti ovládají podvodníci.
BEC podvod je běžně spojován především s osamělými hackery. Check Point ale zjistil, že během koronavirové pandemie roste sofistikovanost a organizovanost těchto zločinů. V dubnu 2020 zveřejnil Check Point podrobnosti o kybergangu Florentine Banker, který okradl 3 organizace o 1,3 milionu dolarů. Útočníci měsíce studovali vytipovaný cíl, manipulovali korespondencí, registrovali podvodné domény a opatrně si vypláceli finance.
Primárním cílem těchto BEC podvodů organizace, které běžně pracují s vysokými finančními transakcemi. Check Point podobné útoky rozdělil do 5 fází:
- Sledování a analýza. Jakmile útočníci získají kontrolu nad e-mailovým účtem oběti, začnou číst e-maily. Kybergangy tráví dny, týdny nebo dokonce měsíce průzkumem, než se aktivně zapojí do komunikace, trpělivě mapují obchodní procesy a postupy, způsoby převodu peněz a vztahy uvnitř i vně organizace.
- Kontrola a izolace. Útočníci začínají oběť izolovat od třetích stran a kolegů vytvořením zvláštních pravidel pro e-mailovou schránku. Tato pravidla přesměrují všechny e-maily s filtrovaným obsahem nebo předmětem do složky monitorované útočníky, kterou ale oběť bude sotva číst.
- Podvodné domény. Útočníci registrují podvodné domény, které vypadají věrohodně a podobně jako legitimní domény subjektů zapojených do e-mailové korespondence, kterou chtějí útočníci zachytit. Útočník začne odesílat e-maily z těchto podvodných domén a vytvoří novou konverzaci nebo pokračuje v existující konverzaci, takže oběť nepostřehne, že by s e-maily mohlo být něco v nepořádku.
- Žádost o peníze. Útočníci začnou vkládat podvodné informace o bankovním účtu pomocí následujících technik:
a. Zachycení legitimních bankovních převodů
b. Vytvoření nových požadavků na bankovní převod - Převod peněz. Kybergangy manipulují konverzací, dokud třetí strana neschválí nové bankovní údaje a nepotvrdí transakci. Pokud banka odmítne transakci kvůli neshodám v měně, jménu příjemce nebo z jiného důvodu, útočníci provádějí další „opravy“, dokud peníze neskončí na jejich účtu.