Business Email Compromise (BEC)
Business Email Compromise (BEC), også kendt som CEO-svindel, er en type cyber-svindel, hvor angribere bruger social engineering til at narre virksomheder til at overføre penge eller frigive fortrolige oplysninger. Ved at efterligne en højtstående leder, en kollega eller en tredjepart via en falsk e-mail, får svindlerne adgang til følsomme data eller betalingsoplysninger, som de derefter kan bruge til at udnytte virksomheden. BEC-svindel er blevet stadig mere udspekuleret.
Angribere, der udfører BEC-svindel, begynder typisk med at foretage grundige undersøgelser af deres mål. Dette kan indebære overvågning af virksomhedens kommunikationsmønstre, indsamling af information om medarbejdere, eller at angriberen infiltrerer e-mailsystemet. Når angriberen har tilstrækkelig information, vil de sende en falsk e-mail, der ser ud til at komme fra en højtstående leder, som en CEO, CFO eller en anden betroet person i virksomheden.
Disse falske e-mails er ofte meget overbevisende og kan være næsten umulige at skelne fra ægte kommunikation. E-mailen kan indeholde en presserende anmodning om at overføre penge til en specifik bankkonto eller anmode om fortrolige oplysninger som lønoplysninger eller regnskabsdata. Anmodningen fremstilles typisk som en hastesag, hvilket skaber pres på modtageren for at handle hurtigt uden at følge standardprocedurer for godkendelse eller kontrol.
BEC-svindel (Business Email Compromise) har udviklet sig til at blive en stadig mere udspekuleret trussel. Angriberne bruger teknikker som spoofing af e-mail-adresser, eller de kaprer endda legitim e-mail-konti ved hjælp af phishing-angreb. De kan også bruge avancerede metoder, som at kompromittere tredjepartsleverandører for at gøre deres svindel endnu mere overbevisende.
Eksempler på BEC (Business Email Compromise) svindel fra den virkelige verden:
Ubiquiti Networks’ tab på 46,7 millioner USD
I 2015 blev Ubiquiti Networks, en amerikansk teknologivirksomhed, offer for et BEC-angreb, hvor svindlere udgav sig for at være virksomhedens leverandører. Gennem falske e-mails overbeviste de medarbejdere om at overføre 46,7 millioner USD til udenlandske bankkonti kontrolleret af angriberne. Selvom en del af midlerne blev genvundet, led virksomheden betydelige økonomiske tab.
FACC AG’s tab på 42 millioner EUR
I 2016 blev den østrigske flyproducent FACC AG udsat for et BEC-angreb, hvor svindlere udgav sig for at være virksomhedens administrerende direktør. De instruerede økonomiafdelingen i at overføre 42 millioner EUR til en udenlandsk konto under påskud af en falsk opkøbstransaktion. Angrebet resulterede i fyringen af både CEO og CFO på grund af manglende interne kontrolmekanismer.
Disse eksempler illustrerer de alvorlige konsekvenser, som BEC-angreb kan have for virksomheder, og understreger vigtigheden af at implementere effektive sikkerhedsforanstaltninger og uddanne medarbejdere i at genkende og håndtere sådanne trusler.
Hvad er konsekvenserne?
Konsekvenserne af BEC-svindel kan være alvorlige for virksomheder, både økonomisk og omdømmemæssigt. Det økonomiske tab kan være enormt, især hvis store summer penge bliver overført til angriberen. Derudover kan det skade virksomhedens omdømme og tillid, hvis følsomme data lækkes eller misbruges.
For at beskytte sig mod Business Email Compromise (BEC svindel) er det vigtigt for virksomheder at implementere stærke sikkerhedsforanstaltninger. Herunder træning af medarbejdere i at genkende potentielle angreb, etablering af klare procedurer for godkendelse af pengeoverførsler, og brug af avanceret e-mail-sikkerhedsteknologi til at opdage og blokere falske e-mails. Det er også afgørende at skabe en kultur, hvor medarbejdere føler sig trygge ved at stille spørgsmål. Selv når anmodninger kommer fra højtstående personer i organisationen.
Med leverandører som blandt andet Acronis, CrowdStrike og KnowBe4 er vores kunder sikret IT-løsninger i topkvalitet. CyberNordic blev stiftet i 2020 med det formål at gøre en forskel for små og mellemstore virksomheder. I dag hjælper vi blandt andet brands som Beauté Pacifique og DEAS Group.