Így lehet 37 millió dollárt elveszteni e-mailezéssel

37 millió dolláros kára származott a Toyota egyik leányvállalatának abból a biztonsági incidensből, amely megtévesztő e-mailek révén következett be.
 

Az üzleti levelezéssel történő visszaélések továbbra is komoly problémát jelentenek a vállalatok számára. A BEC (business email compromise) néven is emlegetett csalások lényege, hogy az elkövetők a célpontjaik feltérképezése után megtévesztő elektronikus leveleket küldözgetnek, és azt próbálják elérni, hogy az ő számlaszámaikra utaljanak a cégek. Ezt számos módon igyekeznek megvalósítani. Általában a kiszemelt vállalatok vezetőinek (különösen a pénzügyi vezetőnek) a nevében küldözgetnek e-maileket a pénzügyes munkatársaknak. Nekik a hamis e-mailek alapján az a feladatuk, hogy elutalják a levelekben szereplő számlaszámokra (vagyis a csalóknak) a megadott pénzösszeget. Mindezt pedig látszólag a legmagasabb szintű vezetők jóváhagyásával.
 
Ez a trükközés meglehetősen átlátszónak tűnik, mégis óriási károkat okoz világszerte. Az FBI IC3 központja egy felmérést is készített e fenyegetettségek kapcsán, amiből az derült ki, hogy 2018-ban összesen több mint 1,2 milliárd dolláros kár érte a BEC-csalások áldozatait. Vagyis a csalók nagyon sokszor elérik a céljukat, amit nemrégen a Toyota egyik leányvállalata, a Toyota Boshoku Corporation is megtapasztalt.
 
A Toyota Boshoku autóalkatrészek (például lökhárítók, motorvédők, ülések stb.) gyártásával foglalkozik. Augusztus 14-én azonban valami olyasmi történt a bankszámláján, amit egyik cég sem szeretne látni. Egy utalás rossz helyre ment, aminek következtében több mint 37 millió dolláros kára keletkezett a cégnek. Az hamar kiderült, hogy egy BEC-támadás áll a háttérben, de a vállalat egyelőre nem kívánt további részleteket elárulni az incidenssel kapcsolatban. Annyit közölt, hogy hatóságok és jogi szakemberek bevonásával igyekszik menteni a menthetőt.
 
A Toyotára idén igencsak rájár a rúd. Február 19-én az ausztrál Toyota kereskedők IT-rendszeri bénultak meg egy kibertámadás következtében. Márciusban pedig arra derült fény, hogy a vállalat 3,1 millió ügyfelének adata szivárgott ki egy adatbiztonsági incidens során.
 
Mit lehet tenni a BEC ellen
 
A szóban forgó eset is jól mutatja, hogy a BEC-alapú csalások ellen fel kell lépni, és a lehető legjobban csökkenteni kell a kockázatokat. Ez azonban nem végezhető el csupán a technológiai védelem fejlesztésével, mivel nagy szerepe van az emberi faktornak. A legjobb megoldás a fizetési folyamatok, illetve az utalások jóváhagyási rendszerének szigorú szabályozása. Ha pedig egy partner bankszámlaszám módosítást kér, akkor nagyon körültekintően kell eljárni, és megbízható csatornákon keresztül (akár személyesen) kell megerősítést kérni arra vonatkozóan, hogy valóban helyes-e az új számlaszám. Hasznos lehet egy próbautalást végezni mielőtt nagyobb összegű tranzakciók indulnak útnak.