Mikä BEC-huijaus on?

BEC (Business Email Compromise) -huijaus on tietojenkalasteluhyökkäystyyppi, jonka kohteena ovat organisaatiot ja tavoitteena varastaa rahaa tai kriittisen tärkeitä tietoja.

BEC-huijauksen määritelmä

BEC-huijaus on kyberrikollisuuden tyyppi, jossa huijari käyttäjä sähköpostia kohteen huijaamisessa lähettämään rahaa tai paljastamaan luottamuksellisia yritystietoja. Rikollinen tekeytyy luotetuksi tahoksi ja pyytää sitten valelaskua maksettavaksi tai arkaluonteisia tietoja muissa huijauksissa käytettäviksi. BEC-huijausten määrä on nousussa lisääntyneen etätyön takia: FNBI:lle tehtiin viime vuonna lähes 20 000 BEC-valitusta.¹

BEC-huijaustyypit

Sähköposti on aloituspiste 91 prosentille kyberhyökkäyksistä.² Lue lisää yleisimmistä sähköpostihuijaustyypeistä.

Tietovarkaus

Joskus huijarit aloittavat ottamalla kohteekseen henkilöstöhallinto-osaston ja varastamalla yritystietoja, kuten jonkun henkilön aikataulun tai henkilökohtaisen puhelinnumeron. Sen jälkeen on helpompi toteuttaa jokin muista BEC-huijauksista ja tehdä siitä uskottava.

Valelaskuhuijaus

Huijari tekeytyy aidoksi toimittajaksi, jonka kanssa yrityksesi työskentelee, ja lähettää sähköpostitse valelaskun, joka usein muistuttaa oikeaa. Tilinumerossa voi olla vain yhden numeron ero. Huijari voi myös pyytää sinua maksamaan toiseen pankkiin väittäen, että omassa pankissasi on käynnissä tarkastus.

Toimitusjohtajahuijaus

Huijarit väärentävät tai hakkeroivat toimitusjohtajan sähköpostitilin ja lähettävät sitten työntekijöille ohjeet oston tekemiseen tai rahan lähettämiseen tilisiirrolla. Huijari voi pyytää työntekijää ostamaan lahjakortteja ja pyytää sitten valokuvat sarjanumeroista.

Lakimieheksi tekeytyminen

Tässä huijauksessa hyökkääjät hankkivat luvattoman käyttöoikeuden asianajotoimiston sähköpostitiliin. Sen jälkeen he lähettävät asiakkaille sähköpostitse laskun tai linkin verkkomaksua varten. Sähköpostiosoite on aito, mutta pankkitili ei ole.

Tilihuijaukset

Huijari hankkii tietojenkalastelun tai haittaohjelman avulla käyttöoikeuden talousosaston työntekijän, kuten myyntireskontran päällikön, sähköpostitiliin. Sen jälkeen huijari lähettää yrityksen toimittajille sähköpostitse valelaskuja, joissa pyydetään maksua vilipilliselle pankkitilille.

Miten BEC-huijaukset toimivat?

BEC-huijauksessa tapahtuu seuraavaa:

1. Huijari tutkii kohdettaan ja selvittää, miten hän voi väärentää identiteettinsä. Joskus huijari voi luoda valesivustoja tai jopa rekisteröidä omasi kanssa saman nimisiä yrityksiä toiseen maahan.

2. Kun huijari on saanut käyttöoikeuden, hän tarkkailee sähköpostiviestejä saadakseen selville, kuka lähettää tai vastaanottaa rahaa. Hän tarkkailee myös keskustelurakenteita ja laskuja.

3. Sähköpostikeskustelun aikana huijari tekeytyy yhdeksi osapuoleksi väärentämällä sähköpostin toimialueen. (Sähköposti voi erota yhdellä tai kahdella kirjaimella, tai se voi olla aito sähköpostiosoite, joka reititetään eri toimialueen kautta (esimerkiksi chris@contoso.com toimialueen fabrikam.com kautta).)

4. Huijari yrittää voittaa kohteen luottamuksen ja pyytää sitten rahaa, lahjakortteja tai tietoja.

BEC-huijauksen kohteet

Kuka tahansa voi joutua BEC-huijauksen kohteeksi. Yritykset, viranomaiset, voittoa tavoittelemattomat organisaatiot ja oppilaitokset ovat kaikki kohteita, erityisesti nämä roolit:

1. Johtajat ja päälliköt, koska heitä koskevia tietoja on usein julkisesti saatavilla yrityksen sivustossa, joten hyökkääjät voivat teeskennellä tuntevansa heidät.

2. Taloushallinnon työntekijät, kuten controller- ja ostoreskontrapalveluissa työskentelevät henkilöt, joilla on yksityiskohtaisia tietoja pankeista,maksutavoista ja tilinumeroista.

3. Henkilöstöpäälliköt, joiden hallussa ovat työntekijöiden tiedot, kuten henkilötunnukset, verotustiedot, yhteystiedot ja aikataulut.

4. Uudet tai aloittelevat työntekijät, jotka eivät voi vahvistaa sähköpostiviestien oikeellisuutta lähettäjän kanssa.

BEC-huijauksen vaarat

Jos BEC-huijaus onnistuu, organisaatiolle tulevat seuraukset voivat olla nämä:

1. Tuhansien tai jopa miljoonien dollarien menetykset.

2. Laaja identiteettivarkaus, jos henkilötietoja varastetaan.

3. Tahaton luottamuksellisten tietojen, kuten immateriaalioikeuksien, vuotaminen.

BEC-uhat kehittyvät, ja niin kehittyvät uhilta suojautumisen strategiatkin. Microsoft itse asiassa esti 32 miljardia sähköpostiuhkaa viime vuonna.³ Lue lisää Microsoftin sähköpostiuhkien suojausratkaisuista.

Esimerkkejä BEC-huijauksista

Esimerkki 1: Maksa tämä kiireellinen lasku

Oletetaan, että työskentelet yrityksesi talousosastolla. Saat talousjohtajalta sähköpostiviestin, jossa on myöhässä olevaa laskua koskeva kiireellinen pyyntö, mutta talousjohtaja ei ole itse asiassa lähettänyt viestiä. Huijari voi myös tekeytyä korjausyritykseksesi tai Internet-palveluntarjoajaksesi ja lähettää sähköpostitse aidolta näyttävän laskun.

Esimerkki 2: Mikä puhelinnumerosi on?

Yrityksen johtaja lähettää sinulle sähköpostiviestin, jossa hän sanoo, että ”Tarvitsen apuasi pikaisessa tehtävässä. Lähetä minulle puhelinnumerosi, niin lähetän sinulle tekstiviestin.” Tekstiviesti tuntuu turvallisemmalta ja henkilökohtaisemmalta kuin sähköpostiviesti, joten huijari toivoo, että lähettäisit hänelle tekstiviestitse maksutiedot tai muita arkaluonteisia tietoja. Tätä kutsutaan tekstiviestihuijaukseksi tai tekstiviestien avulla tehtäväksi tietojen kalasteluksi..

Esimerkki 3: Vuokrasopimuksesi on umpeutumassa

Huijari hankkii käyttöoikeuden kiinteistönvälitysyrityksen sähköpostiin ja etsii sitten meneillään olevat tapahtumat. Hän lähettää asiakkaille sähköpostiviesti, jossa hän sanoo, että ”Maksamalla tämän laskun voit jatkaa toimistosi vuokrasopimusta vuodella” tai ”Voit maksaa vuokratakuun tämän linkin kautta.” Huijarit petkuttivat eräältä henkilöltä yli 500 000 dollaria tällä tavalla.⁴

Esimerkki 4: Erittäin salainen yrityskauppa

Esihenkilösi pyytää etumaksua yrityksesi kilpailijan ostamista varten. ”Pidä tämä meidän välisenämme tietona,” sanotaan sähköpostiviestissä, jotta et tarkistaisi pyyntöä muualta. Koska yrityskaupat ja yritysjärjestelyt pidetään usein salaisina, kunnes kaikki on lopullista, tämä huijaus ei ehkä ensin näytä epäilyttävältä.

Vinkkejä BEC-huijausten estämiseen

Noudata näitä viittä parasta käytäntöä, niin pysäyttää BEC-huijaukset:

Käytä suojattua sähköpostiratkaisua

Office 365:n kaltaiset sähköpostisovellukset merkitsevät ja poistavat epäilyttävät sähköpostiviestit automaattisesti tai antavat sinulle hälytyksen, ettei lähettäjää ole vahvistettu. Sen jälkeen voit estää tietyt lähettäjät ja ilmoittaa sähköpostiviestit roskapostiksi. Defender for Office 365 tarjoaa vielä lisää BEC-huijausten esto-ominaisuuksia, kuten kehittyneen tietojenkalastelusuojauksen ja epäilyttävien edelleenlähetysten tunnistuksen.

Ota käyttöön monimenetelmäinen todentaminen (MFA)

Vaikeuta BEC-huijauksia ottamalla käyttöön monimenetelmäinen todentaminen, joka vaatii lisäksi koodin, PIN-koodin tai sormenjäljen.

Opeta työntekijät huomaamaan varoitusmerkit

Varmista, että jokainen tietää, miten tietojenkalastelulinkit, toimialueen ja sähköpostiosoitteen ristiriidat ja muut punaiset liput voidaan havaita. Simuloi BEC-huijausta, jotta ihmiset tunnistaisivat huijauksen, jos sitä yritetään aidosti.

Määritä suojauksen oletusasetukset

Järjestelmänvalvojat voivat kiristää suojausvaatimuksia koko organisaatiossa vaatimalla kaikilta MFA:n käyttöä, haastamalla uudet tai riskialttiit käyttöoikeudet todentamisella ja pakottamalla salasanojen palautuksen, jos tietoja pääsee vuotamaan.

Käytä sähköpostin todentamistyökaluja

Vaikeuta sähköpostisi väärentämistä todentamalla lähettäjät SPF:n (Sender Policy Framework), DKIM:n (DomainKeys Identified Mail) ja DMARC:n (Domain-based Message Authentication, Reporting, and Conformance) avulla.

Ota käyttöön suojattu maksuympäristö

Harkitse siirtymistä sähköpostitse lähetettävistä laskuista järjestelmään, joka on nimenomaisesti suunniteltu maksujen todentamiseen.

Suojautuminen BEC-huijauksia vastaan

Auta suojaamaan organisaatiotasi epäilyttävät sähköpostiviestit tunnistavilla ratkaisuilla, kuten Microsoft Defender for Office 365, joka voi tehdä seuraavat toiminnot:

1. Tarkista automaattisesti sähköpostin todentamisstandardit, tunnista väärentäminen ja lähetä sähköpostiviestejä karanteeniin tai roskapostikansioihin.

2. Mallinna tekoälyn avulla jokaisen henkilön normaalit tavat käyttää sähköpostia ja merkitse epätavalliset toiminnot.

3. Määritä sähköpostin suojaus käyttäjän, toimialueen ja postilaatikon mukaan.

4. Tutki uhat, selvitä huijauksen kohde, tunnista virheelliset esiintymät ja nimeä huijari Uhkienhallinnassa.

5. Tarkista koko toimialueen laajuiset sähköpostirakenteet ja korosta epätavalliset toiminnot kehittyneillä algoritmeilla väärentämiseltä suojautumisessa.

Lue lisää Microsoft Securitysta

Kuusi vinkkiä sähköpostin suojauksen parantamiseen

Auta BEC-huijauksia vastaan suojautumisessa noudattamalla näitä sähköpostin suojauksen parhaita käytäntöjä.

Lue vinkit

Ymmärrä lahjakorttihuijaus

Lue BEC-huijausta yrittäneiden huijareiden lähettämiä sähköpostiviestejä, jotta olisit valmiina.

Tutustu huijareiden taktiikkaan

Tutustu BEC-hyökkäykseen syvällisesti

Tutustu huijarien toimintatapaan tässä aidossa BEC-huijauksessa.

Lue yksityiskohdat

Estä käänteiset väsytyshyökkäykset

Tutustu siihen, miten voit pysäyttää tämän sähköpostihyökkäyksen ja selvittää, ketkä organisaatiossasi ovat haavoittuvia.

Lue kirjoitus

Mitä tietoturvajohtajien tulisi tietää?

Lue tietoturvatietoisuuskoulutuksen tilasta ja siitä, miten voit kouluttaa tiimiäsi tietojen kalastelun estämisessä.

Lue lisää

Miten MFA estää tietojen kalastelua?

Tee nopein ja helpoin toimi BEC-huijausten estämistä varten: ota käyttöön monimenetelmäinen todentaminen.

Lue lisää

Tutustu Digital Crimes Unit -yksikköön

Tutustu siihen, miten Microsoftin kyberrikollisuustiimi ehkäisee BEC-huijauksia tuoteinnovaatioilla, tutkimuksella ja tekoälyllä.

Tutustu DCU:hun

Usein kysytyt kysymykset

Lähetä valitus FBI:n Internet Crime Complaint Centeriin (IC3). Ilmoita sähköpostiviestistä sähköpostipalvelusi kautta merkitsemällä se roskapostiksi. Jos sähköpostissasi ei ole tätä mahdollisuutta, kerro siitä esihenkilöllesi.
Tietojen kalastelu on vain yksi osa BEC-huijauksia. BEC-huijaus on yläkäsite, tietyntyyppinen hyökkäys, joka sisältää usein tietojen kalastelua, väärentämistä, tekeytymistä ja valelaskuja.
Suojaa yrityssähköpostiviestit noudattamalla sähköpostisuojauksen parhaita käytäntöjä, kuten käyttämällä suojattua sähköpostipalvelua, ottamalla käyttöön monimenetelmäisen todentamisen (MFA), valitsemalla vahvan sähköpostisalasanan ja vaihtamalla sen usein sekä olemalla jakamatta henkilökohtaisia tietoja verkossa. Jos olet järjestelmänvalvoja, harkitse sähköpostin suojausratkaisuja, kuten Defender for Office 365:tä, määritä suojausasetukset ja valvo toimintoja poikkeamien varalta.
Havaitse BEC-huijaukset ja petokset kiinnittämällä huomiota kaikkeen epätavalliseen, kuten työajan ulkopuolella lähetettyihin sähköpostiviesteihin, väärin kirjoitettuihin nimiin, lähettäjän sähköpostiosoitteen ja vastausosoitteen välisiin ristiriitoihin, kiireen ilmaisemiseen, outoihin linkkeihin ja liitteisiin ja maksu- tai laskutustietoihin. Voit havaita BEC-huijaukset myös tarkistamalla sähköpostitilisi poistetut viestit ja edelleenlähetyssäännöt nähdäksesi, onko tilisi vaarantunut. Jos sähköpostisovelluksesi merkitsee tietyt sähköpostiviestit epäilyttäviksi tai vahvistamattomiksi, sekin on yksi tapa havaita BEC-huijaukset.
Sähköpostin väärentämisellä tarkoitetaan sähköpostiosoitteen väärentämistä niin, että sähköpostiviesti näyttää tulleen joltakulta muulta. Väärennetyt sähköpostiviestit voivat näyttää aidoilta, mutta ne voivat tulla eri toimialueelta. Tämä ei ole ilmeistä, ennen kuin tutkit asiaa (esimerkiksi chris@contoso.com toimialueen fabrikam.com kautta). Niissä voi olla myös pieniä kirjoitusvirheitä (chris@cont0so.com) tai ne voivat olla tulleet kokonaan toiselta toimialueelta (chris@fabrikam.com).

1. FBI. ”Internet Crime Report 2021.” Internet Crime Complaint Center. 2021.

2. Ganacharya, Tanmay. ”Protecting against coronavirus themed phishing attacks.” Microsoft Security -blogi. March 20, 2020.

3. Microsoft. ”Digital Defense Report.” October 2021.

4. Yhdysvaltain oikeusministeriö. ”Rhode Island Man Pleads Guilty to Conspiracy to Launder Funds of Email Compromise Fraud Targeting Massachusetts Lawyer.” July 15, 2020.