Ngăn chặn các cuộc tấn công lừa đảo thư điện tử doanh nghiệp

Xâm phạm thư điện tử doanh nghiệp (Business email compromise – BEC) là thuật ngữ chỉ các loại tấn công thông qua email không chứa phần mềm độc hại nói chung. Mặc dù có nhiều hình thức khác nhau, tuy nhiên có hai cơ chế chính mà qua đó, kẻ tấn công xâm nhập vào tổ chức bằng kỹ thuật BEC đó là tấn công giả mạo (spooting) và chiếm tài khoản (account take over).

Trong những nghiên cứu được công bố vào tháng 6/2021 của công ty bảo mật GreatHorn (Hoa Kỳ), 71% tổ chức thừa nhận rằng họ đã từng ghi nhận ít nhất một lần bị tấn công BEC, 43% tổ chức đã gặp phải sự cố bảo mật và 35% trong số họ cho rằng hơn 50% trong số những sự cố này là các tấn công BEC.

Cơ quan khiếu nại tội phạm Internet của FBI báo cáo rằng, loại hình tấn công BEC là loại hình tấn công lừa đảo mang lại tổn thất nhiều nhất trong năm 2020 với 19.369 đơn khiếu nại, ước tính thiệt hại gần 1,8 tỷ USD. Một số cuộc tấn công BEC gần đây bao gồm: Tấn công lừa đảo Barbara Corcoran (nhà đầu tư trong chương trình Shark Tank của Mỹ) gây thiệt hại 380 nghìn USD, tấn công vào chính phủ Puerto Rico với tổn thất 4 triệu USD và tấn công vào tập đoàn truyền thông lớn của Nhật – Nikkei gây tổn hại 29 triệu USD thông qua một email giả mạo.

Để ứng phó với các vụ tấn công BEC, một tổ chức cần chú trọng vào ba yếu tố quan trọng đó là: con người, quy trình và công nghệ.

VỀ QUY TRÌNH

Bộ phận tài chính của tất cả các tổ chức đều cần có chính sách ủy quyền chi tiêu. Chính sách này cho phép đánh giá độ tin cậy của mọi khoản chi tiêu để qua đó bảo đảm được an ninh tài chính của công ty. Chính sách này còn cung cấp công cụ đảm bảo tất cả các chi tiêu được ủy quyền cho đúng người.

Trong một số trường hợp, CEO hay chủ tịch của một công ty được ủy quyền không giới hạn khi yêu cầu thanh toán. Tin tặc nhận thức được điều này, đó là lí do email của các lãnh đạo cấp cao thường bị tin tặc nhắm đến.

Trong bối cảnh về an ninh mạng hiện nay, bộ phận tài chính nên điều chỉnh lại chính sách này để đưa ra những quy trình chặt chẽ hơn. Cụ thể như: cần yêu cầu sự chấp thuận từ nhiều người đối với những khoản chi lớn được thanh toán thông qua séc, chuyển khoản hoặc các hình khác để đảm bảo khoản chi là hợp lệ. Điều này cũng có thể giải thích cho hình thức ủy quyền điện tử hiện nay đang được sử dụng. Ví dụ, nếu một người trong phòng tài chính nhận được email của CEO yêu cầu chuyển khoản, thì người nhận yêu cầu sẽ phải tuân theo chính sách của công ty bao gồm gửi email đến một danh sách định sẵn để được phê duyệt điện tử cùng xác nhận qua điện thoại. Độ lớn của khoản chi tiêu sẽ quyết định ai được phê duyệt hay đồng phê duyệt và sẽ dựa trên chính sách rủi ro của công ty, hay nói cách khác là công ty sẽ sẵn sàng chấp nhận với các tổn thất được xác định cụ thể khi thực hiện phê duyệt khoản chi tiêu đó.

 

Nếu là một thành viên trong nhóm công nghệ thông tin, nên giải thích cho bên tài chính về cách thức tấn công BEC và lừa đảo, đưa ra các ví dụ thực tế về những vụ tấn công gần đây và bàn về cách thức công ty có thể hạn chế được những vụ tấn công này. Dựa vào những ví dụ đó, bên tài chính nên lưu ý đến chính sách của mình cùng với những quan ngại về tấn công BEC. Điều này cũng có nghĩa là, chủ tịch hội đồng quản trị, CEO hay chủ tịch công ty không thể toàn quyền quyết định những khoản chi tiêu lớn mà phải dựa trên chính sách rủi ro của công ty.