Business Email Compromise gây thiệt hại 1,7 Tỷ USD cho doanh nghiệp ở Mỹ vào năm 2019

Business Email Compromise gây thiệt hại 1,7 Tỷ USD cho doanh nghiệp ở Mỹ vào năm 2019

Trung tâm Khiếu nại Tội phạm Internet (IC3) của FBI đã tổng hợp tất cả các khiếu nại được ghi nhận vào năm 2019 và thiệt hại được báo cáo vượt quá 3,5 tỷ đô la, trong đó Thỏa thuận Email cho Doanh nghiệp (Business Email Compromise - BEC) và Thỏa thuận Tài khoản Email (Email Account Compromise - EAC) chiếm 1,7 tỷ đô la.

Không giống như các phương thức khác như gian lận thẻ tín dụng, ransomware và lừa đảo, BEC và EAC dường như không hấp dẫn với hacker. Mặt khác, chỉ riêng hai phương pháp này đã được sử dụng để lừa đảo các công ty và người dân trị giá 1,7 tỷ đô la vào năm ngoái.

Hãy cùng phân tích BEC chi tiết hơn. Hãy tưởng tượng nạn nhân đang làm việc trong phòng tài chính, thậm chí có thể là giám đốc tài chính. Những kẻ tấn công gửi một email, giả mạo để trông giống như hàng trăm email tương tự được gửi đến bộ phận và yêu cầu thanh toán cho một tài khoản cụ thể.

CFO không mảy may nghi ngờ, ngay cả khi tổng số tiền lớn hơn bình thường. Thanh toán được thực hiện, và số tiền đó ra đi mãi mãi. EAC hoạt động khá giống nhau, chỉ có một điểm khác biệt; tài khoản email được sử dụng không bị giả mạo và các cuộc tấn công sử dụng một địa chỉ thực nhưng bị xâm phạm. Thật không may, đây chỉ là một kịch bản và các diễn viên xấu luôn tìm cách đa dạng hóa các cuộc tấn công của họ.

"Trong những năm qua, lừa đảo đã phát triển hơn bao gồm thỏa hiệp email cá nhân, thỏa hiệp email của nhà cung cấp, tài khoản email của luật sư giả mạo, yêu cầu thông tin W-2, nhắm mục tiêu của lĩnh vực bất động sản và yêu cầu gian lận đối với số lượng lớn thẻ quà tặng" - FBI giải thích trong báo cáo của họ.

Báo cáo được biên soạn bởi IC3 của FBI nhấn mạnh mức độ phổ biến của phương pháp này. Với số tiền lừa đảo lên đến 1.776.549.688 USD, BEC / EAC là vấn đề lớn nhất. Gian lận thẻ tín dụng chiếm 111 triệu đô la và nạn nhân gần đây nhất mất gần 50.000 đô la.

Nếu chúng ta nhìn vào số lượng nạn nhân bị lừa đảo, mọi thứ sẽ khác đi một chút,  việc lừa đảo ảnh hưởng đến khoảng 114.000 người. BEC / EAC vẫn còn khá cao trong bảng xếp hạng này, chiếm gần 24.000 nạn nhân.

Thật dễ dàng để nghĩ rằng BEC / EAC gần như là một hình thức tấn công không có nạn nhân, trong khi các công ty đang phải gánh chịu hậu quả của nó. Các con số  thống kê từ thế giới thực đã vẽ một bức tranh hoàn toàn khác.