Cách thức lừa đảo email doanh nghiệp (Business email compromise - BEC) được sử dụng ngày nay hầu như không phát triển, mặc dù có những tiến bộ đáng kể trong công nghệ và kỹ thuật tấn công. Tuy nhiên, chúng vẫn có hiệu quả khi dựa vào một điểm yếu khó thay đổi được đó là “yếu tố con người”.

Trong các trò gian lận BEC ngày nay, tin tặc sử dụng các cuộc tấn công lừa đảo trực tuyến và đánh cắp thông tin đăng nhập để xâm nhập tài khoản email và giành quyền truy cập vào thông tin liên lạc nội bộ. Sau đó, chúng thao túng tâm lý con người và các chức năng kinh doanh để lừa nhân viên gửi những dữ liệu nhạy cảm hoặc tiền cho những tài khoản mà họ tin tưởng nhưng thực chất là những tài khoản giả mạo.

Người dùng có thể dễ dàng hiểu được cách thức tấn công của BEC, nhưng việc ngăn chặn chúng lại không hề đơn giản. Năm 2020, theo báo cáo của Barracuda Networks (một trong những công ty công nghệ hàng đầu của Mỹ về bảo mật hỗ trợ đám mây) thì chỉ có 12% các cuộc tấn công lừa đảo trực tuyến có liên quan đến BEC. Tuy nhiên, con số 12% này lại đem lại thiệt hại về tài chính vô cùng lớn và là một thách thức lớn đối với các doanh nghiệp. Dưới đây là 05 ví dụ về các cuộc tấn công BEC tiêu biểu để bạn đọc có thể hiểu rõ hơn về chúng.

1. Lừa đảo chuỗi cung ứng BEC

Vụ lừa đảo của Tập đoàn Toyota Boshoku năm 2019 đã trở thành cuộc tấn công BEC nổi tiếng. Bởi nạn nhân là một tập đoàn lớn và khoản thanh toán cho thiệt hại này là một con số khổng lồ. Điều này cho thấy các kỹ thuật xã hội của BEC có thể vượt qua được cả những chương trình bảo mật phức tạp vì nó nhắm mục tiêu vào con người thay vì cơ sở hạ tầng.

Trong vụ việc này, tin tặc đã liên hệ với bộ phận tài chính kế toán của một công ty con thuộc Toyota Boshuku, chúng đóng giả là một đối tác kinh doanh của công ty và yêu cầu thanh toán. Nội dung email tạo cảm giác cấp bách với lý do giao dịch cần được hoàn thành càng sớm càng tốt, nếu không sẽ có nguy cơ làm chậm quá trình sản xuất của Toyota. Đây là một cách thức điển hình của BEC và thật không may nó đã có hiệu quả. Một nhân viên của công ty đã chuyển hơn 37 triệu USD trong một đơn đặt hàng linh kiện cho tin tặc. Đây là một trong những khoản tiền lừa đảo cao nhất của BEC từ trước đến nay. 

Cách thức tấn công BEC

2. Gian lận dựa trên niềm tin

Giáo xứ Công giáo Saint Ambrose ở Brunswick, Ohio đã mất 1,75 triệu USD trong một cuộc tấn công BEC vào năm 2019. Theo điều tra của FBI, tin tặc đã xâm nhập hai tài khoản email của giáo xứ và mạo danh một nhà thầu xây dựng (công ty Marous Brothers) để thực hiện lừa đảo.

Khi xâm nhập hai tài khoản email của giáo xứ, tin tặc đã tìm ra cuộc trò chuyện liên quan đến người nhận thanh toán, ngày đến hạn và số tiền. Sau đó, chúng sử dụng thông tin này để gọi điện đến giáo xứ và giải thích rằng thông tin thanh toán của họ gần đây đã thay đổi và họ đã không nhận được thanh toán cho các chi phí xây dựng trong hai tháng trước đó. Đây là một cách thức lừa đảo điển hình của BEC, chúng nhắm đến những mục tiêu có sự tin tưởng cao và dựa trên niềm tin của nạn nhân để đạt được mục đích. 

3. Lừa đảo BEC liên quan đến thẻ quà tặng

Trung tâm khiếu nại tội phạm Internet của FBI đã ban hành một cảnh báo về trò gian lận thẻ quà tặng, sau khi số lượng đơn khiếu nại nhận được từ tháng 1/2017 đến tháng 9/2018 tăng 240%. Các nạn nhân nhận được một email từ tin tặc giả mạo là người có thẩm quyền yêu cầu họ mua thẻ quà tặng với lý do cá nhân hoặc kinh doanh.

Kỹ nghệ xã hội là chìa khóa để lừa đảo BEC liên quan đến thẻ quà tặng hiệu quả. Một chuỗi các cuộc tấn công tương tự nhắm vào các đền thờ và giáo đường Do Thái vào năm 2019. Các giáo sĩ Do Thái ở Virginia, Tennessee, California và Michigan đã bị mạo danh trong email và gửi yêu cầu đến các thành viên trong giáo hội yêu cầu mua thẻ quà tặng cho một cuộc gây quỹ.

Hình thức lừa đảo BEC này hiện đang gia tăng, đặc biệt là trong các ngày lễ và Black Friday. Theo báo cáo từ Anti-Phishing Working Group, 66% các cuộc tấn công BEC có yêu cầu thanh toán bằng thẻ quà tặng trong Quý II/2020.

4. Lừa đảo BEC liên quan đến COVID-19

Khi nhu cầu về thông tin đại dịch COVID-19 tăng cao trong năm qua, thì số lượng các cuộc tấn công lừa đảo có chủ đề liên quan đến đại dịch này cũng tăng theo. Những tin tặc BEC tận dụng cơ hội này để tạo ra các email lừa đảo với những nội dung liên quan đến sự lây truyền của dịch bênh, các thiết bị bảo vệ, chính sách tiêm chủng,… Các email thường mạo danh các nguồn đáng tin cậy như Tổ chức Y tế Thế giới, nội dung email chứa nhiều phần mềm độc hại và thông tin sai lệch (ví dụ như cung cấp các mặt hàng liên quan đến máy thở, PPE và các vật tư hạn chế khác). Chúng cũng có thể giả mạo và yêu cầu thông tin thẻ tín dụng của nạn nhân để mua một liều vắc xin COVID-19 hạn chế.

5. Lừa đảo BEC mùa thuế

Cứ vào mỗi dịp quyết toán thuế trong năm, thì các vụ lừa đảo W-2 BEC lại gia tăng. Các cuộc tấn công BEC này thường sử dụng kỹ nghệ xã hội như mạo danh một Giám đốc điều hành để gửi email yêu cầu đến bên nhân sự cung cấp bản sao W-2 (báo cáo thu nhập hàng năm của nhân viên và khoản khấu trừ thuế) của nhân viên. Khi đó, các thông tin như số an sinh xã hội, tên địa chỉ, thu nhập,… sẽ bị tin tặc thu thập và sử dụng để khai thuế gian lận hoặc bán các thông tin đó trên darkweb.

Sau một đợt tấn công gia tăng đột biến vào năm 2017, các cơ quan thuế và các cơ quan liên quan đã đưa ra những cảnh báo về xu hướng này. Chính vì vậy tình trạng lừa đảo W-2 BEC đến năm 2019 đã giảm xuống còn 2,5% trong tổng số các cuộc tấn công BEC.

Một email mạo danh Giám đốc điều hành trong tấn công BEC

Dấu hiệu của lừa đảo BEC

- Yêu cầu thông tin nhận dạng cá nhân qua email.

- Yêu cầu thanh toán đột ngột hoặc thay đổi thông tin cá nhân.

- Sử dụng các ngôn ngữ thúc giục, khẩn cấp yêu cầu về các vấn đề quan trọng như: thanh toán hóa đơn điện nước, đáo hạn thẻ,…

- Yêu cầu các khoản phí ứng trước.

- Nội dung email gửi tới người nhận chung chung. Ví dụ như: Kính gửi khách hàng.

Cách ngăn chặn lừa đảo BEC

- Các giao dịch tài chính cần được xác nhận trực tiếp hoặc thông qua điện thoại.

- Người dùng cần hiểu được các rủi ro bảo mật email đối với doanh nghiệp và vai trò của họ trong việc giảm thiếu tấn công BEC.

- Thực hiện các kiểm thử xâm nhập để giúp các tổ chức xác định được hành vi của các nhân viên có nguy cơ cao dẫn đến bị tấn công BEC để thực hiện đào tạo nâng cao nhận thức về bảo mật.

- Xây dựng văn hóa an ninh mạng lành mạnh, nhân viên có thể đặt câu hỏi và báo cáo các sự cố an ninh mạng mà ko sợ bị kỷ luật.

- Nắm bắt những yếu tố cơ bản về bảo mật như xác thực đa yếu tố (có thể áp dụng khung an ninh mạng NIST).

- Lập kế hoạch phòng ngừa và ứng phó khi xảy ra tấn công BEC.

- Triển khai các sản phẩm bảo mật email.

- Hạn chế số lượng nhân viên xử lý các giao dịch thanh toán và đảm bảo họ hiểu cách nắm bắt được các yêu cầu và hóa đơn bất thường, cũng như các quy trình phải làm nếu phát hiện ra một cuộc tấn công BEC.