A BEC-támadásokat (Business Email Compromise) - amelyek során a fenyegető szereplők e-mailben felveszik az üzleti vezetők személyazonosságát, és megpróbálják rávenni az alkalmazottakat, hogy átutalást vagy valami hasonló értékeset küldjenek - egyre inkább mobil csatornákra terelik, figyelmeztetnek a biztonsági szakértők.
A Trustwave jelentése szerint folyamatosan nő az olyan BEC-támadások száma, amelyek az e-mail helyett az SMS-t használják fel. A folyamat szinte azonos - a támadó felkeresi az áldozatot, a vállalat egyik vezetőjeként mutatkozik be, és megosztja egy lejárt jelentés másolatát. Ugyanebben az üzenetben arra kérik az áldozatot, hogy kezdeményezzen átutalást, változtasson meg egy bérszámlát, vagy valamilyen más módon utalja át a cég pénzeszközeit.
A kutatók szerint számos előnye van, ha SMS-t használnak a BEC-támadásokhoz e-mailek helyett. Az egyik nyilvánvaló ok, hogy kevesebb olyan elem van, amely gyanússá teheti a célpontot. Míg minden e-mail tartalmazza a feladó címét, ami az első módja lehet a potenciális csalás ellenőrzésének, addig egy SMS-üzenet csak a telefonszámot tartalmazza, és sok esetben az alkalmazottak nem ismerik a főnökeik számát, és nem biztos, hogy kétszer is ellenőrzik azokat.
Ráadásul a támadók visszautasíthatják a potenciális telefonhívást, mondván, hogy megbeszélésen vannak, vagy más módon nem tudják felvenni a hívást. Végül az SMS-kommunikáció sokkal gyorsabb, mint az e-mail, így a fenyegető szereplők sokkal gyorsabban végezhetnek, a Trustwave pedig kiemelte a Szövetségi Kommunikációs Bizottság (FCC) jelentését is, amely szerint a kéretlen szöveges üzenetek száma 2019-hez képest 2022-ben háromszoros lesz.
Az átutalások kezdeményezése szintén gyanút kelthet, ezért a csalók többnyire arra kérik az áldozatokat, hogy inkább ajándékkártyát vásároljanak. Azt ígérik az áldozatoknak, hogy a vásárlásukat visszatérítik. A csalók legtöbbször arra unszolják a célpontjaikat, hogy a Target, a Google Play, az Apple, az eBay vagy a Walmart ajándékkártyáit vásárolják meg.
Az SMS-alapú BEC-támadások elleni védelem érdekében a Trustwave szerint a vállalkozásoknak oktatniuk kell a munkatársaikat a biztonság tudatosságra, és mindig ellenőrizniük kell az emberek személyazonosságát, amikor szöveges üzeneteken keresztül kommunikálnak.
Továbbá tudatosítaniuk kell alkalmazottaikban, hogy a személyes adatok a közösségi média fiókokból lekérdezhetők és támadásokhoz felhasználhatók, és végül - ahol csak lehetséges - ragaszkodniuk kell a többfaktoros hitelesítéshez (MFA), hogy a fenyegető szereplők nehezebben férhessenek hozzá értékes rendszerekhez - írja a TechRadar.
