اختراق البريد الإلكتروني للأعمال، أو BEC، هو عملية احتيال عبر البريد الإلكتروني من نوع التصيد الموجَّه تهدف إلى سرقة الأموال أو البيانات الحساسة من الشركات.
في هجوم BEC، يرسل المجرم الإلكتروني (أو مجموعة من المجرمين الإلكترونيين) رسائل بريد إلكتروني إلى موظفي المؤسسة المستهدفة تبدو وكأنها مرسلة من زميل عمل، أو مورِّد، أو شريك، أو عميل، أو جهة معنية أخرى. تخدع هذه الرسائل البريدية الموظفين لدفع فواتير مزوّرة، أو تحويل الأموال إلى حسابات بنكية وهمية، أو الإفصاح عن معلومات حساسة مثل بيانات العملاء، الملكية الفكرية، أو المعلومات المالية للشركة.
في حالات نادرة، يحاول مهاجمو BEC نشر برامج الفدية أو البرامج الضارة عن طريق مطالبة الضحايا بفتح مرفق أو النقر على رابط ضار.كما أنهم يبحثون بعناية عن الموظفين الذين يستهدفونهم والهويات التي ينتحلون شخصيتهم لجعل رسائلهم الإلكترونية تبدو شرعية. وتساعدهم تقنيات الهندسة الاجتماعية، مثل انتحال عناوين البريد الإلكتروني وابتداع الذرائع، على صياغة رسائل هجومية مقنعة تبدو وكأنها مرسلة من مرسل منتحل.
أحيانًا يخترق المحتالون حساب البريد الإلكتروني للمرسل ويستولون عليه، ما يجعل رسائل الهجوم أكثر مصداقية، بل قد تكون غير قابلة للتمييز عن الرسائل المشروعة. تُعَد هجمات اختراق البريد الإلكتروني للأعمال من بين أكثر الهجمات الإلكترونية تكلفة.
وفقًا لتقرير تكلفة خرق أمن البيانات من IBM لعام 2022، فإن عمليات الاحتيال عبر البريد الإلكتروني للأعمال (BEC) هي ثاني أغلى أنواع الاختراقات الأمنية، حيث تكلِّف في المتوسط 4.89 ملايين دولار أمريكي. وفقًا لتقرير الجرائم الإلكترونية الصادر عن مركز شكاوى الجرائم عبر الإنترنت التابع لمكتب التحقيقات الفيدرالي (FBI)، كلفت عمليات الاحتيال عبر البريد الإلكتروني للأعمال (BEC) ضحايا الولايات المتحدة ما مجموعه 2.7 مليار دولار أمريكي في عام 2022.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
حدَّد خبراء الأمن الإلكتروني ومكتب التحقيقات الفيدرالي ستة أنواع رئيسية من هجمات BEC.
يتظاهر مهاجم BEC بأنه مورِّد تعمل معه الشركة، ويرسل إلى الموظف المستهدف بريدًا إلكترونيًا مرفقًا به فاتورة مزيفة. عندما تدفع الشركة الفاتورة، تذهب الأموال مباشرةً إلى المهاجم. لجعل هذه الهجمات مقنعة، قد يعترض المهاجم فواتير المورِّد الفعلية، ويعدّلها لتوجيه المدفوعات إلى حساباته المصرفية.
ومن الجدير بالذكر أن المحاكم حكمت بأن الشركات التي تقع ضحية الفواتير المزورة تظل مسؤولة عن دفع الفواتير الحقيقية.
تم تنفيذ إحدى أكبر عمليات الاحتيال بالفواتير المزيَّفة ضد Facebook وGoogle. من عام 2013 حتى عام 2015، سرق أحد المحتالين الذي تظاهر بأنه شركة Quanta Computer، وهي شركة حقيقية لتصنيع الأجهزة تعمل معها الشركتان، 98 مليون دولار أمريكي من Facebook و23 مليون دولار أمريكي من Google. ورغم أن المحتال تم اعتقاله واستعادت الشركتان معظم أموالهما، فإن هذه النتيجة نادرة الحدوث في حالات الاحتيال عبر BEC.
يتظاهر المحتالون بأنهم أحد المسؤولين التنفيذيين، غالبًا الرئيس التنفيذي، ويطلبون من موظف تحويل الأموال إلى جهة ما. غالبًا ما يكون هذا الطلب تحت ذريعة إتمام صفقة، أو دفع فاتورة متأخرة، أو حتى شراء بطاقات هدايا للموظفين الآخرين.
غالبًا ما تولِّد مخططات الاحتيال التي تنتحل شخصية الرئيس التنفيذي شعورًا بالإلحاح، ما يدفع الهدف إلى التصرف بسرعة وتهوّر، مثل: "هذه الفاتورة متأخرة، وسنفقد الخدمة إذا لم ندفعها فورًا". هناك أسلوب آخر يتمثَّل في توليد شعور بالسرية لمنع الهدف من استشارة زملاء العمل، على سبيل المثال، "هذه الصفقة سرية، لذلك لا تخبر أحدًا عنها".
في عام 2016،انتحل محتال شخصية الرئيس التنفيذي لشركة تصنيع الطائرات FACC، واستخدَم عملية استحواذ مزيَّفة لخداع موظف وتحويل 47 مليون دولار أمريكي. نتيجةً لهذا الاحتيال، قرّر مجلس إدارة الشركة فصل كلٍّ من المدير المالي والمدير التنفيذي لتجاوزهما واجباتهما.
يستولي المحتالون على حساب بريد إلكتروني لموظف غير تنفيذي، ثم يرسلون فواتير مزورة لشركات أخرى أو يخدعون موظفين آخرين للكشف عن معلومات سرية. غالبًا ما يستخدم المحتالون اختراق البريد الإلكتروني للموظف (EAC) لصيد بيانات اعتماد الحسابات العليا التي يمكنهم استخدامها في احتيال انتحال شخصية الرئيس التنفيذي.
ينتحل المحتالون صفة محامٍ ويطلبون من الضحية دفع فاتورة أو مشاركة معلومات حساسة. تعتمد عمليات الاحتيال بانتحال صفة محامٍ على حقيقة أن الناس يميلون للتعاون مع المحامين، وأنه ليس غريبًا إذا طلب المحامي السرية.
غالبًا ما ينتحل أعضاء عصابة BEC الروسية Cosmic Lynx صفة محامين كجزء من هجوم انتحال مزدوج الهوية. أولًا، يتلقى الرئيس التنفيذي للشركة المستهدفة رسالة إلكترونية تُعرّف الرئيس التنفيذي بمحامٍ يدّعي مساعدة الشركة على إتمام صفقة استحواذ أو صفقة أعمال أخرى. ثم يرسل المحامي المزيّف البريد الإلكتروني إلى الرئيس التنفيذي يطلب منه تحويل دفعة لإغلاق الصفقة. تسرق هجمات Cosmic Lynx في المتوسط 1.27 مليون دولار أمريكي من كل هدف.
تستهدف العديد من هجمات BEC موظفي الموارد البشرية والشؤون المالية لسرقة معلومات التعريف الشخصية (PII) وبيانات حساسة أخرى لاستخدامها في سرقة الهوية أو الجرائم الإلكترونية.
على سبيل المثال، في عام 2017، حذّرت مصلحة الضرائب الأمريكية (IRS) من عملية احتيال BEC سرقت بيانات الموظفين. انتحل المحتالون صفة أحد المسؤولين التنفيذيين في الشركة وطلبوا من موظف الرواتب إرسال نسخ من نماذج W-2 للموظفين (التي تتضمن أرقام الضمان الاجتماعي والمعلومات الحساسة الأخرى). تلقى بعض موظفي الرواتب نفسهم رسائل إلكترونية "للمتابعة" تطلب إجراء تحويلات مالية إلى حساب مزوَّر. افترض المحتالون أن الأهداف التي وجدت طلب W-2 موثوقًا به كانت أهدافًا ممتازة لطلب تحويل الأموال.
في أوائل عام 2023، حذَّر مكتب التحقيقات الفيدرالي من نوع جديد من الهجمات ينتحل المحتالون شخصية عملاء شركات لسرقة منتجات من الشركة المستهدفة. باستخدام معلومات مالية مزيَّفة والتظاهر بأنهم موظفون في قسم المشتريات في شركة أخرى، يتفاوض المحتالون على عملية شراء كبيرة بالائتمان. تقوم الشركة المستهدفة بشحن الطلب -عادةً مواد البناء أو أجهزة الكمبيوتر- لكن المحتالين لا يدفعون أبدًا.
من الناحية الفنية، تُعد هجمات BEC نوعًا من أنواع التصيد الموجَّه - وهو هجوم تصيّد يستهدف فردًا معينًا أو مجموعة من الأفراد. يُعَد هجوم BEC فريدًا بين هجمات التصيد الموجَّه، حيث يستهدف موظفًا أو شخصًا مرتبطًا بالشركة، ويتظاهر المحتال بأنه زميل يعرفه الهدف أو يميل إلى الثقة به.
بينما يتم تنفيذ بعض هجمات BEC بواسطة محتالين منفردين، يتم تنفيذ البعض الآخر بواسطة عصابات متخصصة في BEC. تعمل هذه العصابات مثل الشركات الشرعية، حيث توظِّف متخصصين مثل خبراء توليد العملاء المحتملين للبحث عن أهداف، ومتسللين يخترقون حسابات البريد الإلكتروني، وكتّاب محترفين يضمنون أن رسائل التصيّد خالية من الأخطاء ومقنعة.
بمجرد أن يختار المحتال أو العصابة الشركة المستهدفة، تتَّبع هجمات BEC عادةً النمط نفسه.
تكاد كل شركة أو منظمة غير ربحية أو جهة حكومية تكون هدفًا مناسبًا لهجمات BEC. المؤسسات الكبيرة التي تتمتع بموارد مالية ضخمة وقاعدة عملاء واسعة، والتي تُجري عددًا كبيرًا من المعاملات بحيث قد تمرّ استغلالات هجمات BEC دون ملاحظة، تمثِّل أهدافًا واضحة.
لكن الأحداث العالمية أو المحلية قد تدفع مهاجمي BEC للبحث عن فرص أكثر تحديدًا - بعضها واضح أكثر من غيره. على سبيل المثال، خلال جائحة كوفيد-19، حذَّر مكتب التحقيقات الفيدرالي من أن محتالين في هجمات BEC ينتحلون صفة مورِّدي المعدات والإمدادات الطبية كانوا يرسلون فواتير إلى المستشفيات ووكالات الرعاية الصحية.
في الجانب الآخر -الذي لا يقل ربحية-استغل محتالو BEC في عام 2021 المشروعات التعليمية والإنشائية ذات الدعاية الكبيرة في بيتر بورو، نيو هامبشاير، وحوَّلوا 2.3 مليون دولار أمريكي من أموال البلدية إلى حسابات مصرفية احتيالية.
بعد ذلك، يبدأ المحتالون بالبحث عن المؤسسة المستهدفة وأنشطتها لتحديد الموظفين الذين سيتلقون رسائل التصيد والأسماء التي سينتحلون هويتها.
عادةً ما تستهدف هجمات BEC الموظفين ذوي المستوى المتوسط -مثل مديري قسم المالية أو الموارد البشرية- الذين لديهم صلاحية إصدار المدفوعات أو الوصول إلى بيانات حساسة، والذين يميلون للامتثال لمثل هذه الطلبات من مدير أو مسؤول تنفيذي رفيع المستوى. بعض هجمات BEC قد تركِّز على الموظفين الجُدُد الذين يفتقرون غالبًا للتدريب على الأمن الإلكتروني ولديهم فهم محدود بشأن كيفية التعامل مع المدفوعات أو مشاركة البيانات بشكل صحيح.
بالنسبة إلى هوية المرسل، يختار المحتالون زميل عمل أو شريك يمكنه بشكل مقنع طلب أو التأثير في الإجراء الذي يريد المحتال أن يقوم به الموظف المستهدف. عادةً ما تكون هويات الزملاء المستهدفين مديرين كبارًا أو مسؤولين تنفيذيين أو محامين داخل المؤسسة.
أما الهويات الخارجية فقد تكون لمسؤولين تنفيذيين من شركات مورِّدة أو شريكة، لكنها قد تشمل أيضًا أقرانًا أو زملاء للموظف المستهدف - على سبيل المثال، مورِّد يتعامل معه الموظف بانتظام، أو محامٍ يقدِّم استشارة في صفقة، أو عميل حالي أو جديد.
يستخدم العديد من المحتالين نفس أدوات توليد العملاء المحتملين التي يستخدمها محترفو التسويق والمبيعات الشرعيون -مثل LinkedIn وشبكات التواصل الاجتماعي الأخرى، ومصادر أخبار الأعمال والصناعة، وبرامج التنقيب وبناء القوائم- للعثور على الموظفين المستهدفين المحتملين وهويات المرسلين المطابقة.
لا يتخذ جميع مهاجمي BEC خطوة اختراق شبكات المؤسسة المستهدفة والمرسِلة. لكن الذين يخترقون يتصرّفون مثل البرمجيات الضارة، يراقبون الأهداف والمرسلين ويجمعون المعلومات وصلاحيات الوصول لأسابيع قبل الهجوم الفعلي. قد يمكِّن هذا المهاجمين من:
اختيار أفضل الموظفين المستهدفين وهويات المرسلين بناءً على السلوكيات الملاحَظة وصلاحيات الوصول.
معرفة المزيد من التفاصيل حول كيفية تقديم الفواتير وكيفية التعامل مع المدفوعات أو طلبات البيانات الحساسة لتقليد الطلبات بشكل أفضل في رسائل البريد الإلكتروني الهجومية.
تحديد تواريخ استحقاق مدفوعات محددة للبائعين والمحامين وما إلى ذلك.
اعتراض فاتورة مورِّد أو أمر شراء شرعي وتغييرها لتحديد الدفع إلى الحساب المصرفي للمهاجم.
السيطرة على حساب البريد الإلكتروني الفعلي للمرسل، ما يمكِّن المحتال من إرسال رسائل بريد إلكتروني هجومية مباشرةً من الحساب، بل وأحيانًا إدراجها في محادثات البريد الإلكتروني الشرعية الجارية، للحصول على أقصى درجات المصداقية.
إن انتحال الشخصية المقنع هو مفتاح نجاح BEC، ويعمل المحتالون على صياغة رسائلهم الإلكترونية الهجومية لتحقيق أقصى قدر من المصداقية والموثوقية. إذا لم يخترقوا بريد المرسل الإلكتروني، يُنشئ المحتالون حساب بريد إلكترونيًا مزيفًا ينتحل عنوان المرسل ليبدو شرعيًا. على سبيل المثال، قد يستخدمون أخطاء إملائية إبداعية في الأسماء أو أسماء النطاقات مثل jsmith@company.com أو jane.smith@cornpany.com بدلًا من jane.smith@company.com. يمكنهم أيضًا إضافة إشارات مرئية أخرى، مثل توقيع يحمل شعار الشركة المرسلة أو بيان خصوصية مفصل (ومزيف).
أحد العناصر الرئيسية للبريد الإلكتروني للهجوم هو الذريعة - وهي قصة كاذبة ولكن معقولة تمت كتابتها لكسب ثقة الهدف وإقناعه أو الضغط عليه لتنفيذ ما يريد المهاجم فعله. تجمع الذرائع الأكثر فاعلية بين الموقف الذي يمكن التعرُّف عليه والشعور بالإلحاح والآثار المترتبة على العواقب. رسالة من مدير أو رئيس تنفيذي تنص: "على وشك الصعود إلى الطائرة - هل يمكنك مساعدتي بمعالجة هذه الفاتورة (مرفقة) لتجنُّب رسوم التأخير؟" تُعَد مثالًا كلاسيكيًا على الذريعة في هجوم اختراق البريد الإلكتروني للأعمال.
اعتمادًا على الطلب، قد يُنشئ المحتالون أيضًا مواقع ويب مزيَّفة أو سجل شركات مزيف أو حتى توظيف رقم هاتف مزيف يمكن للهدف الاتصال به للتأكيد.
تُعَد عمليات الاحتيال عبر BEC من بين أصعب الجرائم الإلكترونية التي يصعب منعها لأنها نادرًا ما تستخدم برمجيات ضارة تستطيع الأدوات الأمان اكتشافها. بدلًا من ذلك، يعتمد المحتالون على الخداع والتلاعب. لا يحتاج المحتالون حتى إلى اختراق شركتهم المستهدفة.
يمكنهم انتزاع مبالغ ضخمة من الضحايا من خلال اختراق أو حتى مجرد انتحال هوية مورد أو عميل. نتيجةً لذلك، تستغرق هجمات اختراق البريد الإلكتروني للأعمال في المتوسط 308 أيام للكشف عنها واحتوائها، وفقًا لتقرير تكلفة خرق أمن البيانات - وهو ثاني أطول وقت لحل الحوادث بين جميع أنواع الاختراقات.
مع ذلك، يمكن للشركات اتخاذ الخطوات التالية للحماية من عمليات الاحتيال هذه:
يمكن أن يساعد التدريب على الوعي بالأمن الإلكتروني الموظفين على فهم مخاطر الإفراط في المشاركة على منصات التواصل الاجتماعي والتطبيقات التي يستخدمها المحتالون للعثور على أهدافهم والبحث عنها. يمكن للتدريب أيضًا مساعدة الموظفين على التعرُّف على محاولات اختراق البريد الإلكتروني للشركات واتِّباع أفضل الممارسات، مثل التحقق من طلبات الدفع الكبيرة قبل تنفيذها.
قد لا تتمكّن أدوات أمان البريد الإلكتروني من اكتشاف كل رسائل BEC، خاصةً تلك الصادرة من حسابات مخترقة. ومع ذلك، فإنها يمكن أن تساعد على اكتشاف عناوين البريد الإلكتروني المزيفة. يمكن لبعض الأدوات أيضًا تحديد محتوى البريد الإلكتروني المشبوه الذي قد يُشير إلى محاولة BEC.
يمكن أن تجعل المصادقة ثنائية العوامل أو متعددة العوامل من الصعب على مهاجمي BEC اختراق حسابات البريد الإلكتروني.