V digitálnej dobe sa e-mail stal neoddeliteľnou súčasťou firemnej komunikácie. Spolu s jeho popularitou však rastie aj riziko kybernetických hrozieb. Jednou z najrozšírenejších a najnebezpečnejších foriem podvodu je Business Email Compromise (BEC), pri ktorom útočníci manipulujú s e-mailovými účtami s cieľom zneužiť dôveru zamestnancov a získať tak finančné prostriedky alebo citlivé informácie.

Ako funguje BEC?

BEC útoky majú jednoduchý princíp: útočník napodobňuje skutočný firemný e-mailový účet a zasiela podvodné žiadosti zamestnancom, obchodným partnerom alebo dodávateľom. Tieto útoky sa často začínajú phishingovým e-mailom, ktorý má za cieľ získať prihlasovacie údaje obete. Ak útočníci prelomia bezpečnostné opatrenia, môžu zasielať e-maily, ktoré sa zdajú byť autentické a s väčšou pravdepodobnosťou privedú obeť k vykonaniu požadovaných akcií. Táto schéma je veľmi efektívnym nástrojom pre vytvorenie podvodu.

Najčastejšie typy BEC útokov

Existuje niekoľko typov BEC útokov, v závislosti od spôsobu komunikácie a jej obsahu. Základným predpokladom úspechu podvodníkov pri realizácii takéhoto kybernetického útoku, je vyvolať dojem dôveryhodnosti a nespochybniteľnosti obsahu správy.

1. Podvod cez generálneho riaditeľa – zamestnanci dostanú e-mail od "CEO / riaditeľa" s naliehavou žiadosťou o vykonanie platby.
2. Napadnutie účtu – napadnutý e-mail zamestnanca je zneužitý na odosielanie podvodných žiadostí v rámci firmy alebo aj tretím stranám.
3. Falošné faktúry – útočníci sa vydávajú za dodávateľov a žiadajú platby na svoje účty.
4. Krádež údajov – cieľom je získať citlivé informácie o zamestnancoch a firmách.
5. Podvodní právnici – útočníci sa vydávajú za firemných právnikov, aby získali obchodné tajomstvá.

Koho sa BEC najčastejšie týka?

Aj keď sa môže stať cieľom každá firma alebo organizácia, niektoré osoby a oddelenia sú zraniteľnejšie. Vrcholoví manažéri sú verejne známi a majú prístup k dôverným informáciám, finančné oddelenie spravuje platby a bankové prevody. Ďalším zraniteľnou časťou je oddelenie HR (personálne oddelenie), ktoré má prístup k osobným údajom zamestnancov. Rizikom pre bezpečnosť môžu byť aj noví zamestnanci, ktorí majú nižšie povedomie o procesoch a bezpečnostných postupoch.

Aké sú dôsledky BEC?

Finančné straty v dôsledku BEC útokov rastú každým rokom. Podľa FBI bol globálny finančný dopad v roku 2023 takmer 3 miliardy USD, čo predstavuje viac ako polovičný nárast oproti 1,86 miliardy USD v roku 2020. Straty sú však pravdepodobne oveľa vyššie, keďže mnohé spoločnosti útoky nehlásia.

BEC je sofistikovaná kybernetická hrozba, ktorá môže v krátkom časovom úseku spôsobiť obrovské finančné aj reputačné straty. Ochrana pred takýmto typom podvodu si vyžaduje kombináciu technologických riešení a zodpovedného prístupu zamestnancov. Vzdelávanie zamestnancov je najlepšou prevenciou proti kybernetickým útokom. Čím lepšie budú pripravení, tým nižšie je riziko, že firma sa stane obeťou.

👉 Tu sú najlepšie tipy, ako minimalizovať riziká BEC útoku:

1. Školenia o kybernetickej bezpečnosti – pravidelne organizujte školenia o témach ako phishing, sociálne inžinierstvo a bezpečné správanie online. Učte zamestnancov, ako rozpoznať podvodné emaily.

2. Simulované phishingové útoky – testujte zamestnancov falošnými phishingovými e-mailmi, následne vyhodnocujte ich reakcie a poskytujte spätnú väzbu. Posilňujte ich schopnosti identifikovať podvodné správy.

3. Zavedenie bezpečnostných pravidiel a postupov – nastavte jasné pravidlá na overovanie platobných požiadaviek (napr. vždy telefonicky cez overené číslo), používajte viacúrovňovú autentifikáciu pri prístupe k firemným systémom, a najmä upozornite zamestnancov, aby nikdy neklikali na odkazy v neznámych e-mailoch. Vyžadujte dôkladné overovanie platobných požiadaviek používaním overených kontaktov.

4. Vytvorenie kultúry kybernetickej bezpečnosti – podporujte otvorenú komunikáciu, aby sa zamestnanci nebáli nahlasovať podozrivé emaily. Oceňujte tých, ktorí preukážu ostražitosť pri podozrivých situáciách. Vedenie organizácie / firmy má byť príkladom pri dodržiavaní bezpečnostných postupov. Zavedené jasné vnútrofiremné procesy pre overovanie transakcií a pri zmenách bankových účtov dodávateľov znížia riziko chybovosti a možnosti realizácie BEC útoku.

5. Praktické návody a podpora – pre zamestnancov vytvorte jednoduché príručky na rozpoznanie BEC útokov. Bezpečnostné zásady musia byť dostupné a pravidelne aktualizované. Vytvorte podporný tím IT, na ktorý sa môžu zamestnanci obrátiť s otázkami.

Krátky slovník pojmov kybernetickej bezpečnosti:

Aby sme viac porozumeli terminológii používanej v oblasti počítačovej bezpečnosti, je užitočné poznať pár základných definícií:

• VPN (virtuálna privátna sieť): je sieť pre bezpečné a šifrované pripojenie na menej zabezpečených sieťach. VPN vytvára virtuálnu počítačovú sieť, vďaka čomu sa môžete pripojiť do jednej siete. Svoju použiteľnosť uplatňuje aj vo firemnej sfére, čím vytvára sieť na prepojenie firemných počítačov do firemnej lokálnej siete (intranet). Takáto sieť je šifrovaná a jej vytvorením sa eliminujú všetky možné riziká pre priame spojenie s nežiaducim používateľom.
• QR kód (z angl. quick response code): je dvojrozmerný čiarový kód, ktorý obsahuje informácie vo forme čiernobielych štvorcov a obdĺžnikov. QR kódy sú grafické reprezentácie dát, ktoré môžu byť ľahko skenované a dekódované pomocou QR čítačiek, mobilných telefónov, tabletov alebo iných zariadení s kamerou. V praxi sa osvedčili najmä pri rýchlom zdieľaní informácií, pripojení k webovým stránkam, alebo vytváraní jednoduchých spôsobov platby.
• Platobná brána: technológia, ktorá umožňuje online prevod platieb medzi kupujúcimi a predávajúcimi tak, aby bola zachovaná bezpečnosť a správnosť prevodu peňazí. V záujme zachovania bezpečnosti je však dôležité overovať si dôveryhodnosť webových stránok a ich zabezpečenia (napr. platnosť certifikátu SSL), ako aj dôveryhodnosť samotných platobných brán.