Xâm phạm email doanh nghiệp (BEC) là gì?

Xâm phạm email doanh nghiệp (BEC) là một loại tấn công lừa đảo qua mạng nhắm vào các tổ chức nhằm đánh cắp tiền hoặc thông tin quan trọng.

Định nghĩa về xâm phạm email doanh nghiệp (BEC)

Xâm phạm email doanh nghiệp (BEC) là một loại tội phạm mạng khi kẻ lừa đảo dùng email để lừa người khác gửi tiền hoặc tiết lộ thông tin bí mật của công ty. Thủ phạm giả dạng một người đáng tin cậy, rồi yêu cầu thanh toán hóa đơn giả hoặc tiết lộ dữ liệu nhạy cảm mà họ có thể dùng trong một vụ lừa đảo khác. Tình trạng lừa đảo BEC đang gia tăng do xu hướng làm việc từ xa ngày càng phổ biến. Năm ngoái, FBI đã tiếp nhận gần 20.000 đơn khiếu nại BEC.¹

Các loại hành vi lừa đảo xâm phạm email doanh nghiệp

Email là điểm khởi đầu của 91% cuộc tấn công qua mạng.² Tìm hiểu về các loại email bị xâm phạm thường gặp nhất.

Trộm cắp dữ liệu

Đôi khi, kẻ lừa đảo bắt đầu bằng cách nhắm đến phòng Nhân sự và đánh cắp thông tin của công ty như lịch biểu hoặc số điện thoại cá nhân của một ai đó. Sau đó, chúng dễ dàng tiến hành các chiêu lừa đảo BEC khác và khiến sự việc trông có vẻ đáng tin hơn.

Âm mưu sử dụng hóa đơn giả

Kẻ lừa đảo giả dạng nhà cung cấp hợp pháp mà công ty bạn làm việc cùng, gửi một hóa đơn giả thường trông giống hóa đơn thật qua email. Số tài khoản có thể chỉ khác một chữ số. Hoặc chúng có thể yêu cầu bạn thanh toán qua một ngân hàng khác, nói rằng ngân hàng của bạn đang được kiểm toán.

Giả mạo Giám đốc Điều hành

Kẻ lừa đảo giả mạo hoặc xâm nhập vào tài khoản email của Giám đốc Điều hành, rồi gửi cho nhân viên email chứa hướng dẫn mua hàng hoặc chuyển khoản. Kẻ lừa đảo thậm chí còn yêu cầu nhân viên mua thẻ quà tặng, rồi yêu cầu ảnh chụp số sê-ri.

Mạo danh luật sư

Trong vụ lừa đảo này, kẻ tấn công có được quyền truy nhập trái phép vào một tài khoản email tại một công ty luật. Sau đó, chúng gửi cho khách hàng hóa đơn hoặc liên kết thanh toán trực tuyến qua email. Địa chỉ email hợp pháp nhưng tài khoản ngân hàng thì không.

Xâm phạm tài khoản

Kẻ lừa đảo sử dụng chiêu lừa đảo qua mạng hoặc phần mềm độc hại để có quyền truy nhập vào tài khoản email của nhân viên tài chính, chẳng hạn như người quản lý khoản phải thu. Sau đó, kẻ lừa đảo gửi cho nhà cung cấp của công ty email chứa hóa đơn giả, trong đó yêu cầu thanh toán vào tài khoản ngân hàng lừa đảo.

Vụ lừa đảo BEC diễn ra như thế nào?

Sau đây là quá trình lừa đảo BEC:

1. Kẻ lừa đảo nghiên cứu đối tượng mục tiêu và tìm cách giả danh họ. Đôi khi, kẻ lừa đảo tạo website giả hoặc thậm chí đăng ký công ty có cùng tên với công ty bạn ở một quốc gia khác.

2. Sau khi có quyền truy nhập, kẻ lừa đảo giám sát email để tìm người có thể gửi hoặc nhận tiền. Chúng cũng xem cả mẫu trò chuyện và hóa đơn.

3. Trong cuộc trò chuyện qua email, kẻ lừa đảo mạo danh một trong các bên bằng cách giả mạo miền email. (Địa chỉ email có thể khác một hoặc hai chữ cái hoặc có thể là địa chỉ email chính xác "thông qua" một miền khác, ví dụ: chris@contoso.com thông qua fabrikam.com.)

4. Kẻ lừa đảo tìm cách làm đối tượng mục tiêu tin tưởng, rồi yêu cầu tiền, thẻ quà tặng hoặc thông tin.

Đối tượng mục tiêu của hành vi xâm phạm email doanh nghiệp

Ai cũng có thể trở thành mục tiêu của chiêu lừa đảo BEC. Doanh nghiệp, chính phủ, tổ chức phi lợi nhuận và trường học đều bị nhắm mục tiêu, đặc biệt là các vai trò sau:

1. Nhà điều hành và nhà lãnh đạo vì thông tin chi tiết về họ thường được công khai trên website của công ty nên kẻ tấn công có thể giả vờ biết họ.

2. Nhân viên tài chính như người kiểm soát và nhân viên phụ trách khoản phải trả có thông tin chi tiết về ngân hàng, phương thức thanh toán và số tài khoản.

3. Người quản lý nhân sự có hồ sơ của nhân viên như số an sinh xã hội, tờ khai thuế, thông tin liên hệ và lịch biểu.

4. Nhân viên mới hoặc ở cấp độ bắt đầu không thể xác minh tính hợp pháp của email với người gửi.

Mối nguy hiểm của BEC

Nếu cuộc tấn công xâm phạm email doanh nghiệp thành công, tổ chức của bạn có thể:

1. Mất hàng trăm nghìn đến hàng triệu đô la.

2. Đối mặt với rủi ro bị đánh cắp danh tính trên diện rộng nếu thông tin định danh cá nhân bị đánh cắp.

3. Vô tình làm rò rỉ dữ liệu bí mật như tài sản trí tuệ.

Âm mưu BEC phát triển cũng là lúc chiến lược bảo vệ trước mối đe dọa cần nâng cao. Trên thực tế, vào năm ngoái, Microsoft đã chặn 32 tỷ mối đe dọa email.³ Tìm hiểu thêm về giải pháp bảo vệ trước mối đe dọa email của Microsoft.

Ví dụ về hành vi xâm phạm email doanh nghiệp

Ví dụ 1: Hãy thanh toán hóa đơn khẩn cấp này

Giả sử bạn làm việc trong phòng tài chính của công ty. Bạn nhận được email từ Giám đốc Tài chính yêu cầu thanh toán khẩn cấp một hóa đơn đã quá hạn, nhưng thực ra email đó không phải của Giám đốc Tài chính. Hoặc kẻ lừa đảo giả danh công ty sửa chữa hay nhà cung cấp dịch vụ internet của bạn và gửi hóa đơn trông có vẻ thuyết phục qua email.

Ví dụ 2: Số điện thoại của bạn là gì?

Nhà điều hành của công ty gửi email cho bạn: "Tôi cần bạn hoàn thành một nhiệm vụ nhanh chóng. Hãy gửi cho tôi số điện thoại để tôi nhắn tin cho bạn." Nhắn tin an toàn hơn và cá nhân hơn email, vì vậy kẻ lừa đảo hy vọng bạn sẽ nhắn cho chúng thông tin thanh toán hoặc thông tin nhạy cảm khác. Đây được gọi là "lừa đảo qua tin nhắn" hay là lừa đảo qua mạng thông qua tin nhắn SMS (văn bản).

Ví dụ 3: Hợp đồng cho thuê của bạn sắp hết hạn

Kẻ lừa đảo có quyền truy nhập vào email của công ty bất động sản, rồi tìm các giao dịch đang diễn ra. Chúng gửi email cho khách hàng: "Đây là hóa đơn gia hạn một năm cho hợp đồng cho thuê văn phòng của bạn" hoặc "Đây là liên kết thanh toán khoản tiền cọc thuê nhà của bạn". Gần đây, kẻ lừa đảo đã lừa hơn $500.000 của một người bằng cách này.⁴

Ví dụ 4: Giao dịch mua lại tuyệt mật

Sếp của bạn yêu cầu trả tiền đặt cọc để mua lại một trong các đối thủ cạnh tranh. Email nói rằng: "Điều này chỉ có chúng ta biết" nhằm ngăn bạn xác minh yêu cầu đó. Vì thông tin chi tiết về việc mua lại và sáp nhập thường được giữ bí mật cho đến khi mọi việc hoàn tất nên ban đầu, vụ lừa đảo này không có vẻ đáng ngờ.

Mẹo ngăn chặn BEC

Thực hiện theo năm biện pháp tốt nhất sau để ngăn chặn xâm phạm email doanh nghiệp:

Sử dụng giải pháp email bảo mật

Các ứng dụng email như Office 365 tự động gắn cờ và xóa email đáng ngờ hoặc cảnh báo bạn rằng người gửi chưa được xác minh. Nhờ đó, bạn có thể chặn một số người gửi nhất định và báo cáo email là thư rác. Bộ bảo vệ dành cho Office 365 bổ sung các tính năng ngăn chặn BEC như bảo vệ chống lừa đảo qua mạng nâng cao và phát hiện hành vi chuyển tiếp đáng ngờ.

Thiết lập tính năng xác thực đa yếu tố (MFA)

Làm cho người khác khó xâm phạm email của bạn hơn bằng cách bật tính năng xác thực đa yếu tố. Ngoài mật khẩu, tính năng này sẽ yêu cầu mã, mã PIN hoặc dấu vân tay để đăng nhập.

Hướng dẫn nhân viên cách phát hiện dấu hiệu cảnh báo

Đảm bảo rằng mọi người đều biết cách phát hiện liên kết lừa đảo qua mạng, miền không khớp với địa chỉ email và các dấu hiệu cảnh báo khác. Mô phỏng một vụ lừa đảo BEC để mọi người có thể nhận diện khi sự việc tương tự xảy ra.

Thiết lập cài đặt bảo mật mặc định

Người quản trị có thể thắt chặt các yêu cầu bảo mật trong toàn bộ tổ chức bằng cách yêu cầu mọi người dùng MFA, đưa ra thêm yêu cầu xác thực cho hoạt động truy nhập mới hoặc hoạt động truy nhập rủi ro bằng tính năng xác thực và bắt buộc đặt lại mật khẩu nếu thông tin bị rò rỉ.

Sử dụng công cụ xác thực email

Làm cho người khác khó giả mạo email của bạn hơn bằng cách xác thực người gửi bằng Khung chính sách người gửi (SPF), Thư được xác định bởi khóa tên miền (DKIM) và Cơ chế tuân thủ, báo cáo và xác thực thư theo miền (DMARC).

Sử dụng nền tảng thanh toán bảo mật

Cân nhắc chuyển từ hóa đơn qua email sang hệ thống xác thực thanh toán chuyên dụng.

Biện pháp bảo vệ trước hành vi xâm phạm email doanh nghiệp

Giúp bảo vệ tổ chức của bạn bằng các giải pháp phát hiện email đáng ngờ như Bộ bảo vệ Microsoft dành cho Office 365 có tính năng:

1. Tự động kiểm tra tiêu chuẩn xác thực email, phát hiện giả mạo và gửi email tới thư mục cách ly hoặc thư mục rác.

2. Sử dụng AI để mô hình hóa mẫu email thông thường của từng người và gắn cờ hoạt động bất thường.

3. Đặt cấu hình cho biện pháp bảo vệ email theo người dùng, miền và hộp thư.

4. Điều tra mối đe dọa, tìm đối tượng mục tiêu, phát hiện dương tính giả và xác định kẻ lừa đảo trong Trình khám phá mối đe dọa.

5. Kiểm tra mẫu email trên toàn miền và làm nổi bật hoạt động bất thường bằng thuật toán nâng cao trong Thông tin theo dõi giả mạo.

Tìm hiểu thêm về Microsoft Security

Sáu mẹo giúp email an toàn hơn

Thực hiện theo các biện pháp bảo mật email tốt nhất này để bảo vệ trước BEC.

Đọc mẹo

Hiểu rõ hành vi lừa đảo qua thẻ quà tặng

Đọc email thực tế của kẻ lừa đảo đang tìm cách tiến hành một chiêu lừa đảo BEC để bạn chuẩn bị đối phó.

Khám phá chiến thuật

Tìm hiểu sâu về cuộc tấn công BEC

Tìm hiểu chiêu trò của kẻ lừa đảo trong vụ lừa đảo xâm phạm email thực tế này.

Xem chi tiết

Ngăn chặn cuộc tấn công lần dò mật khẩu chọn lọc

Tìm hiểu cách ngăn chặn cuộc tấn công email này và nắm rõ đối tượng dễ bị tấn công trong tổ chức.

Đọc bài đăng

Những điều Giám đốc Bảo mật Thông tin nên biết

Tìm hiểu về tình trạng đào tạo nhận thức về bảo mật và cách tuyên truyền về lừa đảo qua mạng cho nhóm của bạn.

Đọc thêm

Cách MFA ngăn chặn lừa đảo qua mạng

Thực hiện một trong các bước nhanh chóng và dễ dàng nhất giúp ngăn chặn vụ lừa đảo BEC: bật tính năng xác thực đa yếu tố.

Tìm hiểu thêm

Gặp bộ phận chống tội phạm ảo

Tìm hiểu cách nhóm chống tội phạm mạng của Microsoft ngăn chặn BEC thông qua việc đổi mới, nghiên cứu sản phẩm và AI.

Khám phá DCU

Câu hỏi thường gặp

Nộp đơn khiếu nại cho Trung tâm Khiếu nại tội phạm trên internet (IC3) của FBI. Báo cáo email cho nhà cung cấp email của bạn bằng cách đánh dấu email đó là thư rác. Nếu email của bạn không có tùy chọn đó, hãy thông báo cho người giám sát.
Lừa đảo qua mạng chỉ là một nhánh của xâm phạm email doanh nghiệp. BEC là thuật ngữ bao trùm chỉ đến một loại tấn công thường bao gồm lừa đảo qua mạng, giả mạo, mạo danh và hóa đơn giả.
Bảo vệ email doanh nghiệp bằng cách thực hiện theo các biện pháp bảo mật email tốt nhất như sử dụng nhà cung cấp dịch vụ email bảo mật, bật tính năng xác thực đa yếu tố (MFA), chọn mật khẩu email mạnh và đổi mật khẩu thường xuyên, đồng thời không chia sẻ thông tin chi tiết cá nhân lên mạng. Nếu bạn là người quản trị, hãy cân nhắc các giải pháp bảo mật email như Bộ bảo vệ dành cho Office 365, đặt cấu hình cho cài đặt bảo mật và giám sát hoạt động để phát hiện hành vi bất thường.
Phát hiện hành vi lừa đảo và gian lận BEC bằng cách nhận biết mọi hành vi bất thường, như email được gửi ngoài giờ làm việc, tên sai chính tả, địa chỉ email của người gửi không khớp với địa chỉ nhận thư trả lời, cảm giác khẩn cấp, liên kết và tệp đính kèm lạ hoặc thay đổi đối với thông tin thanh toán hoặc lập hóa đơn. Bạn cũng có thể phát hiện hành vi lừa đảo BEC bằng cách kiểm tra email đã xóa và quy tắc chuyển tiếp của tài khoản email để xem tài khoản của bạn có bị xâm phạm hay không. Nếu ứng dụng email gắn cờ một số email nhất định là đáng ngờ hoặc chưa được xác minh thì đó cũng là một cách để phát hiện hành vi lừa đảo BEC.
Giả mạo email là hành vi giả mạo địa chỉ email để email trông có vẻ là được gửi từ người khác. Email giả mạo có thể trông giống như thật nhưng được gửi từ một miền khác, không lộ rõ nếu bạn không kiểm tra (chris@contoso.com thông qua fabrikam.com) hoặc có lỗi chính tả khó thấy (chris@cont0so.com) hoặc được gửi từ một miền khác hoàn toàn (chris@fabrikam.com).

1. FBI. "Báo cáo tội phạm internet 2021." Trung tâm Khiếu nại tội phạm internet. 2021.

2. Ganacharya, Tanmay. "Bảo vệ trước các cuộc tấn công lừa đảo qua mạng có chủ đề vi-rút corona." Blog Microsoft Security. 20/03/2020.

3. Microsoft. "Báo cáo phòng vệ kỹ thuật số." Tháng Mười 2021.

4. Bộ Tư pháp Hoa Kỳ. "Người đàn ông vùng đảo Rhode thú nhận âm mưu rửa tiền trong vụ lừa đảo xâm phạm email nhắm vào luật sư Massachusetts." 15/07/2020.