Xâm phạm email doanh nghiệp (BEC) là gì?

Các vụ lừa đảo BEC nghe như thể chỉ có trong những bộ phim gián điệp ly kỳ, nhưng các kỹ thuật được sử dụng trong đó lại rất thật và hiệu quả đến mức đáng báo động. Dưới đây là cách mà những tội phạm mạng này thực hiện:

Các kỹ thuật mà kẻ tấn công sử dụng

Kẻ lừa đảo BEC không chỉ dựa vào may mắn, mà chúng là những kẻ thao túng lành nghề cả công nghệ lẫn con người. Chúng có thể:
 

• Giả mạo địa chỉ email để làm cho tin nhắn chúng gửi trông có vẻ như đến từ ai đó mà bạn tin tưởng.
• Sử dụng chiến thuật lừa đảo qua mạng có chủ đích nhắm vào các nhân viên cụ thể với tin nhắn được cá nhân hóa để mang lại cảm giác rất riêng tư.
• Triển khai phần mềm gây hại để truy nhập vào các cuộc trò chuyện và thông tin nhạy cảm có thể lợi dụng. 

Đây không phải là những chiêu trò lừa đảo qua mạng thông thường, mà được tạo ra một cách chính xác để tránh bị nghi ngờ.

Tại sao các cuộc tấn công BEC lại khó phát hiện

Điều làm cho các cuộc tấn công BEC trở nên nguy hiểm là sự tinh vi của chúng. Kẻ lừa đảo dựa vào tâm lý vốn tin tưởng của con người và rằng nhiều doanh nghiệp dựa vào các quy trình có thể đoán trước. Chúng lợi dụng những xu hướng này bằng cách bắt chước các yêu cầu hàng ngày (như phê duyệt thanh toán hoặc cập nhật hóa đơn) theo cách xuất sắc đến nỗi ngay cả nhân viên có kinh nghiệm cũng có thể bị lừa.

Nội dung thường thấy trong các email BEC

Email BEC thường mang các dấu hiệu nhận biết nếu bạn biết mình cần phát hiện điều gì. Các yếu tố phổ biến gồm:
 

• Yêu cầu chuyển khoản gấp hoặc mua thẻ quà tặng.
• Tin nhắn dạng “Anh/chị có thể xử lý việc này một cách riêng tư không? Tôi đang bận họp.”
• Ngữ pháp có chút sai hoặc địa chỉ email chỉ khác một ký tự so với địa chỉ thực. 

Những tin nhắn này nhằm thúc đẩy bạn hành động trước khi bạn dừng lại để đặt câu hỏi. Nhận ra những dấu hiệu cảnh báo này là bước đầu tiên để ngăn chặn.

Những kẻ lừa đảo BEC không có sự phân biệt. Chúng sẽ nhắm đến bất kỳ ai có quyền tiếp cận tiền hoặc thông tin nhạy cảm. Tuy nhiên, một số tổ chức và vai trò thường xuyên trở thành mục tiêu của chúng hơn.

Các mục tiêu thường thấy bao gồm:
 

• Doanh nghiệp thuộc mọi quy mô, từ những tập đoàn lớn đến các doanh nghiệp nhỏ.
• Cơ quan chính phủ quản lý ngân sách hoặc hợp đồng.
• Tổ chức phi lợi nhuận, đặc biệt là những tổ chức xử lý các khoản quyên góp hoặc tài trợ lớn.
• Trường học và trường đại học nơi nhân viên hành chính xử lý các khoản thanh toán học phí và hóa đơn của nhà cung cấp. 

Về cơ bản, nếu tổ chức của bạn chuyển tiền hoặc quản lý các hoạt động nhạy cảm thì tức là bạn đang nằm trong tầm ngắm.

Các vai trò cụ thể mà kẻ lừa đảo nhắm đến

Không phải nhân viên nào cũng bị nhắm đến như nhau trong các vụ lừa đảo BEC. Kẻ tấn công tập trung vào các vai trò có quyền hạn về tài chính hoặc quyền truy cập cấp cao. Các mục tiêu chính bao gồm:
 

• Nhân viên tài chính như người kiểm soát và nhân viên phụ trách khoản phải trả có thông tin chi tiết về ngân hàng, phương thức thanh toán và số tài khoản.
• Các giám đốc điều hành, đặc biệt là Giám đốc Điều hành và Giám đốc Tài chính, vì yêu cầu của họ có trọng lượng và tính khẩn cấp, đồng thời thông tin về họ thường có sẵn công khai.
• Chuyên viên quản lý nhân sự có hồ sơ của nhân viên như số an sinh xã hội, tờ khai thuế, thông tin liên hệ và lịch biểu.
• Quản trị viên CNTT, người có quyền truy cập vào các hệ thống có thể giúp kẻ tấn công đào sâu vào tổ chức.
• Nhân viên mới hoặc cấp thấp, những người sẽ gặp khó khăn hơn trong việc xác minh tính hợp pháp của một email. 

Kẻ lừa đảo biết rằng các vai trò này chính là những "người gác cổng", vì vậy việc giả mạo họ (hoặc trực tiếp lừa họ) giúp chúng tiếp cận được tài sản của tổ chức bạn.

Các vụ lừa đảo BEC không chỉ để lại dấu vết mà còn để lại hố sâu. Hậu quả về tài chính, hoạt động và danh tiếng có thể rất kinh khủng. Hãy cùng phân tích:

Tác động tài chính của các cuộc tấn công BEC

Số liệu không biết nói dối. Các cuộc tấn công BEC gây phí tổn cực kỳ lớn. Theo báo cáo của FBI, các vụ lừa đảo BEC đã gây thiệt hại hơn 50 tỷ USD kể từ năm 2013. Nhưng thiệt hại không chỉ nằm ở số tiền bị đánh cắp trực tiếp. Thêm vào đó là các chi phí:
 

• Khôi phục sau các vụ rò rỉ dữ liệu, vì những kẻ tấn công thường có quyền truy cập vào thông tin nhạy cảm trong quá trình lừa đảo.
• Các khoản phạt pháp lý và theo quy định, đặc biệt nếu dữ liệu của khách hàng hoặc nhân viên bị xâm phạm.
• Gián đoạn về hoạt động, khi đội ngũ của bạn phải vội vàng ứng phó với khủng hoảng. 

Khi các kế hoạch BEC ngày càng cao tay thì những chiến lược bảo vệ trước mối đe dọa cũng cần được nâng tầm. Tìm hiểu thêm về các giải pháp của Microsoft giúp bảo vệ trước mối đe dọa từ email.

Ví dụ về hành vi xâm phạm email doanh nghiệp

BEC không chỉ là lý thuyết mà đang diễn ra hàng ngày ở các tổ chức. Dưới đây là một số ví dụ thực tế về BEC:

Ví dụ 1: Hãy thanh toán hóa đơn khẩn cấp này

Giả sử bạn làm việc trong phòng tài chính của công ty. Bạn nhận được email từ Giám đốc Tài chính yêu cầu thanh toán gấp một hóa đơn đã quá hạn, nhưng thực ra email đó không phải của Giám đốc Tài chính. Hoặc kẻ lừa đảo giả danh nhà cung cấp dịch vụ Internet của công ty bạn và gửi hóa đơn trông có vẻ thuyết phục qua email.

Ví dụ 2: Số điện thoại của bạn là gì?

Nhà điều hành của công ty gửi email cho bạn: "Tôi cần bạn hoàn thành một nhiệm vụ nhanh chóng. Hãy gửi cho tôi số điện thoại để tôi nhắn tin cho bạn." Nhắn tin an toàn hơn và cá nhân hơn email, vì vậy kẻ lừa đảo hy vọng bạn sẽ nhắn cho chúng thông tin thanh toán hoặc thông tin nhạy cảm khác. Đây được gọi là "lừa đảo qua tin nhắn" hay lừa đảo qua mạng thông qua tin nhắn SMS (tin nhắn văn bản).

Ví dụ 3: Giao dịch mua lại tuyệt mật

Sếp của bạn yêu cầu trả tiền đặt cọc để mua lại một trong các đối thủ cạnh tranh. Email nói rằng: "Điều này chỉ có chúng ta biết" nhằm ngăn bạn xác minh yêu cầu đó. Vì thông tin chi tiết về thương vụ mua lại và sáp nhập thường được giữ bí mật cho đến khi mọi việc hoàn tất nên ban đầu, chiêu trò lừa đảo này không hề đáng nghi.

So sánh cuộc tấn công BEC với cuộc tấn công lừa đảo qua mạng truyền thống

Mặc dù cả BEC và lừa đảo qua mạng đều là các hình thức lừa đảo qua email, nhưng chiến thuật và tác động lại khá khác nhau:

• BEC – Các cuộc tấn công có mục tiêu rõ ràng, thiên về cá nhân. Kẻ lừa đảo nghiên cứu kỹ lưỡng, bắt chước những người và quy trình cụ thể để tạo dựng lòng tin. Các cuộc tấn công này tập trung vào tài sản có giá trị cao như khoản tiền chuyển qua ngân hàng hoặc dữ liệu nhạy cảm.
• Lừa đảo qua mạng truyền thống – Các cuộc tấn công trên diện rộng, nhắm đến số đông. Ví dụ có thể kể đến gồm các trang đăng nhập giả, email "bạn đã thắng giải thưởng" hoặc các chiến thuật dọa dẫm chung chung. Những cuộc tấn công này dễ nhận diện hơn và thường nhằm đánh cắp mật khẩu hoặc một số tiền nhỏ.

Mức độ rủi ro mà BEC gây ra cao hơn rất nhiều, khiến các tổ chức phải ưu tiên phòng thủ chống lại những chiêu trò lừa đảo tinh vi này.

Để ngăn chặn cuộc tấn công BEC ngay từ đầu, đòi hỏi phải kết hợp giữa các biện pháp chủ động, những phương pháp phòng thủ bằng công nghệ cùng một kế hoạch vững chắc để ứng phó trong trường hợp xấu. Dưới đây là cách để giữ an toàn cho tổ chức của bạn:

Các biện pháp trong tổ chức và đào tạo nhân viên

Tuyến phòng thủ đầu tiên của bạn là con người. Việc nâng cao nhận thức sẽ biến những mắt xích yếu thành đồng minh an ninh mạng. Đảm bảo mọi người biết cách nhận diện:
 

• Các liên kết lừa đảo qua mạng.
• Sự không khớp giữa tên miền và địa chỉ email.
• Các yêu cầu khẩn cấp đáng ngờ.

Thậm chí bạn có thể mô phỏng một vụ lừa đảo BEC để mọi người học cách nhận diện khi sự việc tương tự xảy ra.

Cổng email an toàn và các giải pháp kỹ thuật

Công nghệ có thể tăng cường khả năng phòng thủ của bạn. Các công cụ được thiết kế để phát hiện và chặn những email độc hại bao gồm:

• Cổng email an toàn (SEG) – Các cổng này hoạt động như bộ lọc, chuyên phân tích tin nhắn đến để tìm dấu hiệu gian lận hoặc giả mạo.
• Xác thực đa yếu tố (MFA) – Ngay cả khi kẻ lừa đảo có được thông tin đăng nhập, MFA sẽ đóng vai trò lớp bảo mật tăng cường.
• Cơ chế tuân thủ, báo cáo và xác thực thư theo miền (DMARC) – Giao thức này giúp ngăn kẻ tấn công giả mạo tên miền email của bạn. 

Việc triển khai những công cụ này có thể giúp giảm đáng kể rủi ro mà một cuộc tấn công BEC thành công gây ra.

Ứng phó với một cuộc tấn công nghi là BEC

Nếu bạn nghi ngờ đang có một cuộc tấn công BEC, tốc độ rất quan trọng. Dưới đây là những gì bạn cần làm:
 

1. Ngừng giao dịch – Nếu lệnh chuyển khoản ngân hàng đã được khởi tạo, hãy liên hệ ngay với ngân hàng để ngừng hoặc đảo chiều thanh toán.
2. Thông báo cho đội ngũ IT – Họ có thể điều tra nguồn gốc của email và chặn các liên lạc tiếp theo từ kẻ tấn công.
3. Xem xét và cập nhật quy trình – Tìm kiếm và củng cố các lỗ hổng trong giao thức bảo mật hiện tại để tránh xảy ra sự cố trong tương lai. 

Chuẩn bị sẵn kế hoạch ứng phó để sẵn sàng hành động khi từng giây đều đáng giá ngàn vàng.

AI và bảo mật email

Xu hướng tăng về ứng dụng AI trong an ninh mạng và máy học là bước ngoặt trong bảo mật email. Những công nghệ này:

• Phân tích các kiểu hành vi trong email để phát hiện những tình huống bất thường, như yêu cầu chuyển khoản ngân hàng đột ngột.
• Xác định các dấu hiệu tinh vi của việc giả mạo, chẳng hạn như sự khác biệt nhỏ trong địa chỉ email.
• Liên tục thích ứng với những mối đe dọa mới, khiến kẻ lừa đảo khó khăn hơn trong việc vượt qua các công cụ phát hiện. 

Bằng cách tích hợp các giải pháp hoạt động bảo mật (SecOps) thống nhất, hoạt động trên nền tảng AI vào hệ thống bảo mật của mình, bạn sẽ có lợi thế trước những kẻ tấn công ngày càng tinh vi.

Để có thể ngăn chặn các cuộc tấn công BEC, bạn cần đi trước một bước. Tội phạm mạng liên tục phát triển chiến thuật của chúng, vì vậy các biện pháp bảo mật của bạn cần phải linh hoạt như chính những mối đe dọa. Dưới đây là cách đảm bảo biện pháp phòng thủ của bạn hữu hiệu và luôn được cập nhật:

Liên tục theo dõi và cập nhật

Các cuộc tấn công BEC không phải là mối đe dọa "trăm lần như một". Kẻ lừa đảo liên tục tinh chỉnh phương pháp để vượt qua các công cụ bảo mật hiện có, vì vậy bạn cần phải luôn cảnh giác bằng cách:

• Tiến hành các cuộc kiểm tra bảo mật định kỳ để xác định những điểm yếu trong biện pháp phòng thủ của bạn.
• Thường xuyên cập nhật phần mềm để vá các lỗ hổng và đảm bảo bạn được bảo vệ trước các cuộc tấn công mới.
• Liên tục theo dõi mối đe dọa để phát hiện hoạt động bất thường trong thời gian thực, từ các mẫu email đáng ngờ đến những nỗ lực truy cập trái phép. 

Chỉ khi liên tục phát triển vị thế bảo mật, bạn mới có thể theo kịp những mối đe dọa luôn thay đổi này.

Cập nhật thông tin về các mối đe dọa mới nhất

Khi luôn cập nhật thông tin mới nhất về mối đe dọa trên mạng, bạn có thể xác định các mối đe dọa tiềm ẩn trước khi chúng trở thành vấn đề nghiêm trọng. Luôn giữ thế chủ động bằng việc:

• Đăng ký nhận bản tin và thông tin từ các blog về an ninh mạng để nhận thông tin cập nhật thường xuyên về những kỹ thuật BEC mới.
• Tham gia các diễn đàn bảo mật theo ngành để chia sẻ thông tin và học hỏi từ kinh nghiệm của những tổ chức khác.
• Hợp tác với các chuyên gia an ninh mạng để hiểu về hoạt động tìm kiếm mối đe dọa và cách hoạt động này có thể ảnh hưởng đến doanh nghiệp của bạn. 

Càng hiểu rõ cách những kẻ lừa đảo đang thích nghi với hoạt động phát hiện và ứng phó với mối đe dọa, bạn sẽ càng có sự chuẩn bị tốt hơn để ngăn chặn chúng.

Đối với các tổ chức sử dụng Microsoft Office 365, Microsoft Defender cho Office 365 mang đến giải pháp mạnh mẽ giúp phát hiện và giảm thiểu các cuộc tấn công BEC. Hệ thống này cung cấp khả năng:
 

• Bảo vệ chống lừa đảo qua mạng tinh vi, chặn các email đáng ngờ và cảnh báo người dùng về những mối đe dọa tiềm ẩn.
• Giám sát và báo cáo theo thời gian thực nhờ hoạt động phát hiện điểm cuối và phản hồi (EDR), giúp bạn phát hiện các dấu hiệu bị xâm phạm khi chúng xảy ra.
• Có hành động phản ứng sự cố tự động, như cách ly các email độc hại và chặn những tác nhân đe dọa đã biết.

Khi tích hợp Microsoft Defender cho Office 365 vào hệ thống bảo mật của mình, bạn sẽ có một đồng minh mạnh mẽ trong cuộc chiến chống lại BEC – một đồng minh luôn được cập nhật để theo kịp các mối đe dọa đang phát triển.

Ngoài ra, tính năng ngắt tấn công tự động trong Microsoft Defender XDR có thể ngăn chặn các cuộc tấn công đang diễn ra như BEC và ngăn chặn cuộc tấn công mở rộng phạm vi.