كيفية حماية شركتك الناشئة من عمليات الاحتيال عبر البريد الإلكتروني
على الرغم من الادعاءات التي ترددت على مدى سنوات بأن “موت البريد الإلكتروني” يقترب بسرعة، إلا أن طريقة الاتصال التي استمرت لعقود من الزمن لا تزال تزدهر في مجال الأعمال. على وجه الخصوص، أعمال القرصنة.
تظل رسالة البريد الإلكتروني التي تحتوي على رابط يبدو شرعيًا ولكنه في الواقع ضارًا واحدة من أخطر الحيل الناجحة في دليل مجرمي الإنترنت وقد أدت إلى بعض أكبر عمليات الاختراق في السنوات الأخيرة، بما في ذلك اختراق عملاق الاتصالات Twilio عام 2022 واختراق العام الماضي. من منصة التواصل الاجتماعي Reddit.
في حين أنه من السهل في بعض الأحيان اكتشاف رسائل البريد الإلكتروني هذه، سواء كان ذلك بسبب سوء التهجئة أو عنوان بريد إلكتروني غير عادي، فقد أصبح من الصعب بشكل متزايد التعرف على بريد إلكتروني مخادع من بريد إلكتروني شرعي حيث أصبحت تكتيكات المتسللين معقدة بشكل متزايد.
لنأخذ على سبيل المثال اختراق البريد الإلكتروني الخاص بالعمل (أو BEC)، وهو نوع من الهجمات عبر البريد الإلكتروني الذي يستهدف المؤسسات الكبيرة والصغيرة بهدف سرقة الأموال أو المعلومات المهمة أو كليهما. في هذا النوع من الاحتيال، يقوم المتسللون بانتحال شخصية شخص مألوف للضحية أو اختراقه، مثل زميل العمل أو رئيس العمل أو شريك العمل، للتلاعب به للكشف عن معلومات حساسة دون قصد.
لا يمكن المبالغة في المخاطر التي يشكلها ذلك على الشركات، وخاصة الشركات الناشئة. خسر الأفراد في الولايات المتحدة ما يقرب من 3 مليارات دولار في عمليات الاحتيال عبر BEC العام الماضي وحده، وفقًا لأحدث البيانات الصادرة عن مكتب التحقيقات الفيدرالي. ولا تظهر هذه الهجمات أي علامات على التباطؤ.
كيفية اكتشاف عملية احتيال عبر البريد الإلكتروني الخاص بالعمل
ابحث عن العلامات التحذيرية
على الرغم من أن مجرمي الإنترنت أصبحوا أكثر تقدمًا في أساليب إرسال البريد الإلكتروني، إلا أن هناك بعض العلامات التحذيرية البسيطة التي يمكنك – ويجب – أن تنتبه إليها. يتضمن ذلك رسالة بريد إلكتروني تم إرسالها خارج ساعات العمل المعتادة، أو أسماء بها أخطاء إملائية، أو عدم تطابق بين عنوان البريد الإلكتروني للمرسل وعنوان الرد، أو روابط ومرفقات غير عادية، أو شعور غير مبرر بالإلحاح.
تواصل مع المرسل مباشرة
إن استخدام التصيد الاحتيالي – حيث يستخدم المتسللون رسائل بريد إلكتروني تصيدية مخصصة لانتحال شخصية مسؤولين تنفيذيين رفيعي المستوى داخل الشركة أو البائعين الخارجيين – يعني أنه قد يكون من المستحيل تقريبًا معرفة ما إذا كانت الرسالة قد جاءت من مصدر موثوق به. إذا كانت رسالة البريد الإلكتروني تبدو غير عادية – أو حتى إذا لم تكن كذلك – فاتصل بالمرسل مباشرة لتأكيد الطلب، بدلاً من الرد عبر أي بريد إلكتروني أو أي رقم هاتف موجود في البريد الإلكتروني.
تحقق مع موظفي تكنولوجيا المعلومات لديك
أصبحت عمليات الاحتيال الخاصة بالدعم الفني شائعة بشكل متزايد. في عام 2022، تم استهداف عملاء Okta من خلال عملية احتيال معقدة للغاية حيث أرسل المهاجمون رسائل نصية للموظفين تحتوي على روابط لمواقع التصيد الاحتيالي التي قلدت شكل ومظهر صفحات تسجيل الدخول إلى Okta الخاصة بأصحاب العمل. بدت صفحات تسجيل الدخول هذه تشبه إلى حد كبير الصفقة الحقيقية حيث قدم أكثر من 10000 شخص بيانات اعتماد عملهم. من المحتمل أن قسم تكنولوجيا المعلومات لديك لن يتصل بك عبر الرسائل القصيرة، لذلك إذا تلقيت رسالة نصية عشوائية بشكل مفاجئ أو إشعارًا منبثقًا غير متوقع على جهازك، فمن المهم التحقق مما إذا كان شرعيًا.
كن (أكثر) حذرًا من المكالمات الهاتفية
لقد استخدم مجرمو الإنترنت منذ فترة طويلة البريد الإلكتروني كسلاحهم المفضل. وفي الآونة الأخيرة، يعتمد المجرمون على المكالمات الهاتفية الاحتيالية لاختراق المؤسسات. يقال إن مكالمة هاتفية واحدة أدت إلى اختراق سلسلة الفنادق MGM Resorts العام الماضي، بعد أن نجح المتسللون في خداع مكتب خدمة الشركة لمنحهم حق الوصول إلى حساب أحد الموظفين. كن دائمًا متشككًا بشأن المكالمات غير المتوقعة، حتى لو كانت واردة من جهة اتصال تبدو شرعية، ولا تشارك أبدًا معلومات سرية عبر الهاتف.
متعدد العوامل كل الأشياء!
المصادقة متعددة العوامل – والتي تتطلب عادةً رمزًا أو رمز PIN أو بصمة الإصبع لتسجيل الدخول بالإضافة إلى اسم المستخدم وكلمة المرور الخاصة بالمنظم – ليست مضمونة بأي حال من الأحوال. ومع ذلك، من خلال إضافة طبقة إضافية من الأمان تتجاوز كلمات المرور المعرضة للاختراق، فإن ذلك يجعل من الصعب على مجرمي الإنترنت الوصول إلى حسابات البريد الإلكتروني الخاصة بك. اتخذ خطوة أمنية واحدة إلى أبعد من ذلك من خلال طرح تقنية بدون كلمة مرور، مثل مفاتيح أمان الأجهزة ومفاتيح المرور، والتي يمكن أن تمنع سرقة كلمة المرور والرمز المميز للجلسة من البرامج الضارة التي تسرق المعلومات.
تنفيذ عمليات دفع أكثر صرامة
في أي نوع من الهجمات الإلكترونية، يكون الهدف النهائي للمجرم هو كسب المال، وغالبًا ما يعتمد نجاح عمليات الاحتيال في BEC على التلاعب بموظف واحد لإرسال تحويل إلكتروني. يتظاهر بعض المتسللين ذوي الدوافع المالية بأنهم بائعون يطلبون الدفع مقابل الخدمات المقدمة للشركة. لتقليل خطر الوقوع ضحية لهذا النوع من عمليات الاحتيال عبر البريد الإلكتروني، قم بتنفيذ عمليات دفع صارمة: قم بتطوير بروتوكول للموافقات على الدفع، واطلب من الموظفين تأكيد تحويلات الأموال من خلال وسيلة اتصال ثانية، وأخبر فريقك المالي بالتحقق مرة أخرى من كل بنك. تفاصيل الحساب التي تتغير.
يمكنك أيضًا تجاهلها
في النهاية، يمكنك تقليل مخاطر الوقوع في معظم عمليات الاحتيال عبر BEC ببساطة عن طريق تجاهل المحاولة والمضي قدمًا. لست متأكدًا بنسبة 100% من أن رئيسك في العمل في الحقيقة هل يريد منك الخروج وشراء بطاقات هدايا بقيمة 500 دولار؟ تجاهله! هل تتلقى مكالمة لم تكن تتوقعها؟ ارفع سماعة التلفون! ولكن من أجل فريقك الأمني ومساعدة زملائك في العمل، لا تلتزم الصمت. قم بالإبلاغ عن المحاولة إلى مكان عملك أو قسم تكنولوجيا المعلومات حتى يكونوا في حالة تأهب أعلى.
