Erilaiset huijaukset ja tietojenkalastelu ovat lisääntyneet voimakkaasti. Suomalaisilta yksityishenkilöiltä yritetään viedä vuosittain miljoonia euroja, mutta yrityskentällä huijareita odottaa vielä suuremmat apajat. Niin sanotut laskuhuijaukset, eli BEC-huijaukset (Business Email Compromise) ovat yksi yleisimmistä yrityksiin kohdistuvista huijauksista ja ne ovat uhka kaikenkokoisille yrityksille.
BEC-huijaus on kehittynyt huijaustyyppi, jossa rikolliset hyödyntävät yritysten välisiä aitoja laskuja ja tilauksia. Tyypillisesti BEC-huijaus alkaa, kun rikolliset murtautuvat yrityksen sähköpostijärjestelmään. Kohteena ovat usein tavalliset yrityksen työntekijät, sillä murtautumisessa hyödynnetään usein työntekijöiden kirjautumistunnuksia, joita rikolliset pyrkivät kalastelemaan sähköposteilla.
”Kirjautumistiedot saatuaan huijarit seuraavat yrityksen sähköpostiviestintää ja pyrkivät tunnistamaan meneillään olevia liiketoimia ja laskutus- tai maksuprosesseja. Kun huijarit ovat seuranneet yrityksen ulkoista ja sisäistä viestintää tarpeeksi pitkään, he ujuttautuvat sähköpostiviestittelyyn juuri oikealla hetkellä”, kertoo Nordean petostorjunnan asiantuntija Annukka Multanen.
Yrityksiin kohdistuvissa sähköpostihuijauksissa rikollisilla on mahdollisuus päästä käsiksi merkittäviin rahasummiin.
”BEC-huijaus on yrityksille monitahoinen uhka, joka voi johtaa mittaviin taloudellisiin menetyksiin” toteaa Nina Luomanen, Nordean pk-yritysasiakkaista vastaava johtaja Suomessa.
“Yritykset voivat parantaa puolustustaan yhdistämällä teknologiset tietoturvaratkaisut koulutukseen ja selkeisiin sisäisiin menettelyihin. Ennakointi on avainasemassa paitsi yrityksen omaisuuden turvaamisessa, myös kumppaneiden ja asiakkaiden luottamuksen säilyttämisessä”, hän jatkaa.
Miten yritykseen kohdistuva BEC-huijaus etenee?
Tyypillinen BEC-huijaus, on varsin moniportainen kokonaisuus. Kuten niin monet muutkin petokset, myös BEC-huijaus alkaa käyttäjän manipuloinnilla. Yleensä työntekijä huijataan napsauttamaan linkkiä ja antamaan sen kautta käyttäjätunnuksensa. Kalastelu voi tapahtua verkkourkintasähköpostilla, joka näyttää tulevan tunnetulta yritykseltä, kuten esimerkiksi Microsoftilta, Googlelta tai Applelta.
”Kuvittele tilanne, jossa suuri yritys valmistelee huomattavaa maksua kansainväliselle toimijalle. Huijarit ovat päässeet kirjautumaan yrityksen sähköpostijärjestelmään ja seuranneet talousosaston ja toimittajan välistä viestienvaihtoa. He saavat tietää, että yritys on pian tekemässä suuren maksun”, Multanen kuvailee.
Sähköpostiviestinnän tietoja hyödyntäen huijarit luovat väärennetyn sähköpostiosoitteen, joka on lähes identtinen toimittajan sähköpostiosoitteen kanssa.
“Ero on niin pieni, ettei siihen kiinnitä huomiota. Huijarit lähettävät luomastaan sähköpostiosoitteesta talousosastolle sähköpostin, jossa pyydetään vaihtamaan maksutietoihin toinen pankkitili. Muutoksen syyksi ilmoitetaan esimerkiksi toimittajan sisäinen tarkastus. Talousosasto olettaa saaneensa sähköpostin yrityksen luotetulta kumppanilta ja suorittaa maksun uudelle tilille, minkä seurauksena miljoonien arvoinen summa siirtyy suoraan huijareiden tilille”, Multanen jatkaa.
”Toivomme, että yritykset pysyvät valppaana ja kouluttavat henkilöstöään aiheesta. Huijaukset alkavat usein yksinkertaisella verkkourkintaviestillä, jossa vastaanottajaa pyydetään päivittämään kirjautumistietonsa. Kun huijari on päässyt järjestelmän sisään, voi tapahtua monenlaisia vakavia asioita”, Luomanen sanoo.
”Suosittelemme, että ainakin käyttäjätilejä suojaava kaksivaiheinen tunnistautuminen on käytössä mahdollisimman monessa järjestelmässä”, Multanen vielä vinkkaa.
Yritys, näin suojaudut sähköpostihuijauksilta:
- Koulutus: On tärkeää kouluttaa työntekijät tunnistamaan verkkourkintasähköpostit ja muut huijaukset. Tietoisuutta voidaan lisätä säännöllisillä koulutuksilla ja testauksilla.
- Kaksivaiheinen tunnistautuminen: Ota käyttöön menettely, joka edellyttää maksutietojen muutosten ja arvoltaan suurten maksutapahtumien vahvistamista useamman kanavan, esimerkiksi puheluiden, kautta.
- Teknologiset ratkaisut: Käytä kehittyneitä sähköpostin suojausjärjestelmiä, jotka havaitsevat epäilyttävän toiminnan ja hälyttävät siitä. Esimerkkejä tällaisesta ovat sähköpostiosoitteet, jotka sisältävät pieniä muutoksia tunnettuihin yhteystietoihin.
- Sisäiset tietoturvakäytännöt: Laadi selkeät protokollat arkaluonteisten tietojen jakamiseen sisäisesti ja maksupyyntöjen käsittelyyn.