क्या आप चाहते हैं कि आपका ईमेल पता पेशेवर लगे? क्या आप चिंतित हैं कि आपने "[ईमेल संरक्षित]" के बजाय "[ईमेल संरक्षित]" और अब आप किसी महत्वपूर्ण चीज़ से वंचित हैं? TLDR: ईमेल पते...
चाबी छीन लेना
- बीईसी हमले केवल प्रतिरूपण और सोशल इंजीनियरिंग के माध्यम से सफल होते हैं, जो दुर्भावनापूर्ण कोड या संदिग्ध लिंक का पता लगाने पर केंद्रित अधिकांश तकनीकी सुरक्षा नियंत्रणों को दरकिनार कर देते हैं।
- बीईसी हमलावर लिंक्डइन, कंपनी की वेबसाइटों और सार्वजनिक रिकॉर्ड का उपयोग करके लक्ष्यों पर व्यापक शोध करते हैं, इससे पहले कि वे वास्तविक व्यावसायिक संबंधों के अनुरूप विश्वसनीय प्रतिरूपण ईमेल तैयार करें।
- प्रमाणीकरण प्रोटोकॉल (SPF, DKIM, DMARC) डोमेन स्पूफिंग को कम करते हैं, लेकिन कर्मचारी प्रशिक्षण और वित्तीय सत्यापन प्रक्रियाएं भी उतनी ही महत्वपूर्ण हैं क्योंकि BEC विशेष रूप से मानवीय विश्वास का फायदा उठाता है।
आपके वित्त प्रबंधक को सीईओ से एक ईमेल मिलता है जिसमें दिन समाप्त होने से पहले तत्काल वायर ट्रांसफर करने का अनुरोध किया गया है। संदेश में सीईओ का नाम है, एक वास्तविक सौदे का जिक्र है जो अभी चल रहा है, और गोपनीयता बनाए रखने का अनुरोध किया गया है। यह मामला गंभीर और समयबद्ध प्रतीत होता है। प्रबंधक ट्रांसफर कर देता है, और बाद में उसे पता चलता है कि सीईओ ने वह ईमेल भेजा ही नहीं था।
यह व्यावसायिक ईमेल डेटा का उल्लंघन है। और अब यह साइबर अपराध का सबसे अधिक आर्थिक रूप से नुकसान पहुंचाने वाला रूप है। एफबीआई का इंटरनेट क्राइम शिकायत केंद्र अकेले 2023 में ही बीईसी से अरबों डॉलर का नुकसान हुआ, और वास्तविक संख्या इससे कहीं अधिक होने की संभावना है क्योंकि कई घटनाएं दर्ज ही नहीं होतीं। बीईसी को इतना खतरनाक बनाने वाली बात इसकी सरलता है। इसमें कोई मैलवेयर नहीं होता। कोई स्पष्ट खामी नहीं होती। बस एक सुनियोजित और बेहद विश्वसनीय प्रतिरूपण होता है।
बिजनेस ईमेल कॉम्प्रोमाइज क्या है, ये हमले कैसे होते हैं, और कौन से बचाव वास्तव में कारगर हैं, यह समझने से संगठनों को अपने वित्तीय खातों, संवेदनशील डेटा और मुख्य कार्यों को उस तरह के नुकसान से बचाने का बेहतर मौका मिलता है, जिसके लिए बीईसी को डिज़ाइन किया गया है।
बिजनेस ईमेल कॉम्प्रोमाइज क्या है?
बिजनेस ईमेल कॉम्प्रोमाइज एक परिष्कृत धोखाधड़ी योजना है जहां हमलावर ईमेल के माध्यम से अधिकारियों, विक्रेताओं, व्यावसायिक भागीदारों और सहकर्मियों सहित विश्वसनीय व्यक्तियों का रूप धारण करते हैं ताकि कर्मचारियों को ऐसे कार्यों को करने के लिए हेरफेर किया जा सके जो हमलावर को वित्तीय या सूचनात्मक रूप से लाभ पहुंचाते हैं।
हमलावरों को सिस्टम में सेंध लगाने के लिए तकनीकी कौशल की आवश्यकता नहीं होती है; उन्हें किसी संगठन की संरचना, संबंधों और प्रक्रियाओं के बारे में पर्याप्त जानकारी चाहिए होती है ताकि वे ऐसे विश्वसनीय प्रतिरूपण ईमेल तैयार कर सकें जो उन कर्मचारियों को लक्षित हों जिनके पास धन हस्तांतरित करने, डेटा साझा करने या खाता जानकारी बदलने का अधिकार हो।
सामान्य फ़िशिंग में हज़ारों यादृच्छिक प्राप्तकर्ताओं को एक जैसे संदेश भेजे जाते हैं, इस उम्मीद में कि कुछ प्रतिशत लोग व्यापक धोखे में आ जाएँगे। बीईसी इसके विपरीत है: एक सावधानीपूर्वक शोध किया गया संदेश, एक विशिष्ट लक्ष्य को भेजा जाता है, जिसमें एक विशिष्ट विश्वसनीय व्यक्ति का रूप धारण किया जाता है और वास्तविक संगठनात्मक संदर्भ का उल्लेख किया जाता है।
यह लक्षित दृष्टिकोण ही बीईसी को सामान्य फ़िशिंग की तुलना में अधिक प्रभावी और अधिक खर्चीला बनाता है। यह इसलिए काम करता है क्योंकि संगठन ईमेल-आधारित भरोसे पर चलते हैं। कर्मचारी अधिकारियों से भुगतान अनुरोधों को संसाधित करते हैं, विक्रेता चालान परिवर्तनों पर प्रतिक्रिया देते हैं, और वकीलों या लेखा परीक्षकों के साथ जानकारी साझा करते हैं, जबकि वे हमेशा अन्य चैनलों के माध्यम से पहचान सत्यापित करने में सक्षम नहीं होते हैं।
बिजनेस ईमेल कॉम्प्रोमाइज अटैक कैसे काम करते हैं
बीईसी हमले प्रारंभिक शोध से लेकर धोखाधड़ीपूर्ण अनुरोध निष्पादन तक एक संरचित पद्धति का पालन करते हैं।
चरण 1: लक्ष्य का चयन और अनुसंधान
हमलावर उन संगठनों और विशिष्ट व्यक्तियों की पहचान करते हैं जिन्हें निशाना बनाना उचित होता है, आमतौर पर वे लोग जिनके पास वित्तीय अधिकार होते हैं (मुख्य वित्तीय अधिकारी, खाता देय प्रबंधक), संवेदनशील डेटा तक पहुंच होती है (मानव संसाधन प्रबंधक, कार्यकारी सहायक), या विक्रेता संबंधों पर नियंत्रण होता है।
शोध के स्रोतों में संगठनात्मक पदानुक्रम दर्शाने वाली लिंक्डइन प्रोफाइल, अधिकारियों और उनकी भूमिकाओं की पहचान करने वाली कंपनी की वेबसाइटें, साझेदारी और सौदों की घोषणा करने वाली प्रेस विज्ञप्तियां, यात्रा कार्यक्रम और वर्तमान प्राथमिकताओं को प्रकट करने वाले सोशल मीडिया और कंपनी के आकार और लेनदेन की मात्रा को दर्शाने वाले सार्वजनिक वित्तीय दस्तावेज शामिल हैं।
यह शोध चरण हफ्तों तक चल सकता है। हमलावर रिपोर्टिंग संबंधों का मानचित्रण करते हैं, यह पहचानते हैं कि कौन से कर्मचारी भुगतान संसाधित करते हैं, विक्रेता संबंधों को समझते हैं, और आगामी घटनाओं, जैसे अधिग्रहण, लेखापरीक्षा या कर जमा करने की समय सीमा, की तलाश करते हैं जो तत्काल अनुरोधों के लिए विश्वसनीय बहाने प्रदान करती हैं।
चरण 2: खाता अधिग्रहण या डोमेन स्पूफिंग
हमलावर दो मुख्य तरीकों से विश्वसनीय संदेश भेजने की क्षमता हासिल कर लेते हैं: खाता अधिग्रहण और डोमेन स्पूफिंग।
अकाउंट हैक करने के हमले में, हमलावर अक्सर फ़िशिंग, क्रेडेंशियल स्टफिंग या लीक हुए क्रेडेंशियल्स को खरीदकर किसी वैध ईमेल अकाउंट को हैक कर लेते हैं और असली पते से बीईसी संदेश भेजते हैं। ये हमले सबसे विश्वसनीय लगते हैं क्योंकि ये असली और भरोसेमंद अकाउंट से किए जाते हैं।
जब हमलावरों के पास खाते की पहुँच नहीं होती, तो वे प्रतिरूपण तकनीकों का सहारा लेते हैं। वे डिस्प्ले नाम स्पूफिंग का उपयोग कर सकते हैं, जिसमें प्रेषक का नाम वैध प्रतीत होता है, भले ही वास्तविक ईमेल पता अलग हो। अन्य मामलों में, वे कंपनी-इंक.कॉम या कॉर्नपैनी.कॉम जैसे मिलते-जुलते डोमेन पंजीकृत करते हैं जो वास्तविक डोमेन से काफी मिलते-जुलते होते हैं और सामान्य जाँच में आसानी से पहचाने जा सकते हैं।
चरण 3: सोशल इंजीनियरिंग और संदेश निर्माण
एकत्रित शोध का उपयोग करके, हमलावर ऐसे संदेश तैयार करते हैं जो प्रामाणिक प्रतीत होते हैं। वे वास्तविक परियोजनाओं, वास्तविक संबंधों, वर्तमान व्यावसायिक घटनाओं और प्रतिरूपित व्यक्ति की संचार शैली का संदर्भ देते हैं। संदेश अक्सर संक्षिप्त और पेशेवर होते हैं, इतने लंबे होते हैं कि विश्वसनीय लगें, और इतने छोटे होते हैं कि असंगतता से बचा जा सके।
चरण 4: कपटपूर्ण अनुरोध निष्पादन
यह संदेश एक ऐसा अनुरोध भेजता है जिसे न्यूनतम सत्यापन के साथ शीघ्रता से संसाधित करने के लिए डिज़ाइन किया गया है: एक नए खाते में वायर ट्रांसफर, बदले हुए बैंक खाते में चालान का भुगतान, कर्मचारियों के वेतन को हमलावर-नियंत्रित खातों में पुनर्निर्देशित करना, या किसी वैध प्रतीत होने वाले कारण से संवेदनशील डेटा को अग्रेषित करना।
जल्दबाजी और गोपनीयता आम दबाव बनाने की तरकीबें हैं: "आज कारोबार बंद होने से पहले इसे पूरा कर लें," "इस मामले में सामान्य प्रक्रियाओं का पालन न करें," "सौदा पूरा होने तक इसे गोपनीय रखें।" ये अनुरोध धोखाधड़ी को उजागर करने वाले सत्यापन चरणों को रोकने के लिए बनाए गए हैं।
बीईसी घोटालों के सामान्य प्रकार
बीईसी हमले कई अलग-अलग रूप ले सकते हैं, जिनमें से प्रत्येक अलग-अलग संगठनात्मक कमजोरियों को लक्षित करता है।
सीईओ धोखाधड़ी
बीईसी का सबसे प्रचलित प्रकार, सीईओ धोखाधड़ी, में हमलावर किसी संगठन के मुख्य कार्यकारी अधिकारी का रूप धारण करके निचले स्तर के कर्मचारियों पर तत्काल कार्रवाई करने का दबाव डालते हैं। एक वित्त प्रबंधक को सीईओ की ओर से आया हुआ प्रतीत होने वाला एक ईमेल प्राप्त होता है जिसमें सामान्य अनुमोदन प्रक्रियाओं को दरकिनार करते हुए एक गोपनीय अधिग्रहण के लिए तत्काल वायर ट्रांसफर का अनुरोध किया जाता है।
सीईओ धोखाधड़ी अधिकारियों और कर्मचारियों के बीच अधिकारिक संबंधों का फायदा उठाती है। अधिकांश लोग अपने सीईओ के सीधे अनुरोधों पर सवाल नहीं उठाते, खासकर जब वे अनुरोध तात्कालिकता से संबंधित हों और गोपनीयता बनाए रखने का आग्रह करते हों।
विक्रेता चालान धोखाधड़ी
हमलावर किसी जाने-माने विक्रेता या आपूर्तिकर्ता का रूप धारण करके लक्षित संगठन को सूचित करते हैं कि उनके बैंकिंग विवरण बदल गए हैं और आगामी भुगतानों को एक नए खाते में स्थानांतरित करने का अनुरोध करते हैं। चूंकि संचार में वास्तविक विक्रेता संबंधों और चल रहे व्यवसाय का उल्लेख होता है, इसलिए यह सामान्य प्रतीत होता है।
यह विकल्प विशेष रूप से प्रभावी है क्योंकि चालान प्रसंस्करण में बाहरी पक्षों के साथ नियमित संचार शामिल होता है, जिससे लेखा देय टीमों के लिए द्वितीयक चैनलों के माध्यम से प्रत्येक परिवर्तन को सत्यापित करना कठिन हो जाता है।
वेतन का हेरफेर
मानव संसाधन विभागों को कर्मचारियों की ओर से भेजे गए प्रतीत होने वाले ईमेल प्राप्त होते हैं जिनमें वेतन के सीधे बैंक खाते में जमा करने का अनुरोध किया जाता है। यदि अनुरोध पर कार्रवाई की जाती है, तो कर्मचारी का अगला वेतन, या एकाधिक वेतन, कर्मचारी के खाते में जाने के बजाय हमलावर के खाते में भेज दिए जाते हैं।
ये हमले वित्त विभाग के बजाय मानव संसाधन विभाग को निशाना बनाते हैं, और वेतन संबंधी परिवर्तन अनुरोधों की नियमित प्रकृति का फायदा उठाते हैं जिन्हें मानव संसाधन टीमें नियमित रूप से संसाधित करती हैं।
वकील का प्रतिरूपण
हमलावर वकीलों, कानूनी फर्मों या संवेदनशील मामलों (विलय, अधिग्रहण, अनुपालन संबंधी मुद्दे या मुकदमेबाजी) से निपटने वाले कानूनी सलाहकारों का रूप धारण करते हैं और तत्काल वित्तीय हस्तांतरण या गोपनीय जानकारी की मांग करते हैं। कानूनी अधिकार का इस्तेमाल करने से प्राप्तकर्ताओं की सवाल करने या जानकारी सत्यापित करने की प्रवृत्ति कम हो जाती है।
अनुरोधों में अक्सर कानूनी गोपनीयता आवश्यकताओं पर जोर दिया जाता है ताकि कर्मचारियों को उन सहकर्मियों से परामर्श करने से रोका जा सके जो प्रश्न उठा सकते हैं।
डेटा चोरी बीईसी
सभी बीईसी हमलों का उद्देश्य धन प्राप्त करना नहीं होता। कुछ हमले संवेदनशील डेटा को निशाना बनाते हैं: कर्मचारियों के सामाजिक सुरक्षा नंबर और वेतन संबंधी जानकारी वाले W-2 फॉर्म, बौद्धिक संपदा, ग्राहक डेटाबेस या गोपनीय व्यावसायिक रणनीति दस्तावेज़।
डेटा चोरी और धोखाधड़ी (बीईसी) अक्सर वित्तीय धोखाधड़ी से पहले होती है। जब हमलावर कर्मचारियों की जानकारी, जैसे कि वेतन विवरण या सीधे जमा डेटा चुराते हैं, तो वे बाद में इसका उपयोग वेतन या लाभ भुगतान को पुनर्निर्देशित करने के लिए कर सकते हैं। साथ ही, आंतरिक दस्तावेज़, संपर्क सूचियाँ और संचार पैटर्न हमलावरों को भविष्य के हमलों में अधिक विश्वसनीय प्रतिरूपण ईमेल तैयार करने के लिए आवश्यक जानकारी प्रदान करते हैं।
बीईसी हमले के चेतावनी संकेत
बीईसी संदेशों को वैध दिखने के लिए डिज़ाइन किया गया है, लेकिन सावधानीपूर्वक जांच करने पर विशिष्ट पैटर्न उनकी वास्तविक प्रकृति को उजागर करते हैं।
प्रेषक और डोमेन में विसंगतियां:
- जब आप ईमेल पते की जांच करने के लिए उस पर माउस ले जाते हैं या क्लिक करते हैं, तो प्रदर्शित नाम वास्तविक ईमेल पते से मेल नहीं खाता है।
- डोमेन में कुछ मामूली बदलाव होते हैं: company.com की जगह company-inc.com, cornpany.com, company.co।
- माना जाता है कि कार्यकारी स्तर के संचार के लिए मुफ्त ईमेल सेवा प्रदाताओं (जीमेल, याहू) का उपयोग किया जाता है।
- रिप्लाई-टू एड्रेस, फ्रॉम एड्रेस से अलग है, जिससे प्रतिक्रियाएं हमलावर के नियंत्रण वाले खातों की ओर पुनर्निर्देशित हो जाती हैं।
भाषा और लहजे में विसंगतियाँ:
- लेखन शैली, शब्दावली या औपचारिकता का स्तर उस तरीके से मेल नहीं खाता जिस तरह से कथित प्रेषक सामान्य रूप से संवाद करता है।
- अधिकारियों द्वारा आमतौर पर आपके नाम का उपयोग करने वाले सामान्य अभिवादन ("हैलो," "हाय टीम")
- कुछ अटपटी शब्दावली जो मूल वक्ताओं के बोलने के तरीके से मेल नहीं खाती।
- ऐसे रिश्तों या परियोजनाओं के संदर्भ जो थोड़े अटपटे लगते हैं या जिनका वर्णन सामान्य रूप से किया गया है
असामान्य वित्तीय अनुरोध:
- नए, अपुष्ट खातों में धनराशि स्थानांतरित करने के अनुरोध
- बदले हुए बैंकिंग विवरणों के साथ विक्रेता भुगतान निर्देश
- गिफ्ट कार्ड खरीदने और कोड साझा करने के अनुरोध (लगभग सार्वभौमिक बीईसी चेतावनी संकेत)
- उन लेन-देनों के संबंध में तात्कालिकता जो सामान्यतः स्थापित अनुमोदन प्रक्रियाओं का पालन करते हैं
तात्कालिकता और गोपनीयता का दबाव:
- "आज ही करना होगा," "काम खत्म होने से पहले," या अन्य कृत्रिम समय दबाव।
- सामान्य अनुमोदन प्रक्रियाओं को दरकिनार करने के अनुरोध
- लेनदेन पूरा होने तक अनुरोध को गोपनीय रखने के निर्देश।
- मानक चैनलों के माध्यम से सत्यापन का सुझाव देने पर असुविधा या हतोत्साहन।
असामान्य अनुरोध संदर्भ:
- उन अधिकारियों से वित्तीय अनुरोध जो सामान्यतः सीधे भुगतान शुरू नहीं करते हैं
- बिना पूर्व सूचना या संदर्भ के विक्रेता परिवर्तन अनुरोध
- वकील द्वारा उन मामलों के बारे में संचार जिनके बारे में आपको पहले से जानकारी नहीं थी
- ऐसे अनुरोध प्राप्त होते हैं जब कथित प्रेषक के यात्रा पर होने या अनुपलब्ध होने की जानकारी हो।
स्वच्छ, सत्यापित संपर्क सूचियों को बनाए रखना और विश्वसनीय तरीकों का उपयोग करना ईमेल सत्यापन उपकरण यह संगठनों को उन संदेशों की पहचान करने में मदद करता है जो स्थापित संपर्क रिकॉर्ड से मेल नहीं खाते हैं, जो संभावित बीईसी गतिविधि का प्रारंभिक संकेत है।
व्यावसायिक ईमेल सुरक्षा उल्लंघनों से कैसे बचें
प्रभावी बीईसी रोकथाम के लिए तकनीकी प्रणालियों, कर्मचारी व्यवहार, वित्तीय प्रक्रियाओं और संगठनात्मक नीति में स्तरित नियंत्रण की आवश्यकता होती है।
तकनीकी नियंत्रण
कोई भी एक तकनीकी समाधान अकेले ही बीईसी को नहीं रोक सकता, इसलिए संगठनों को जोखिम को कम करने के लिए प्रमाणीकरण, निगरानी और पहुंच नियंत्रण को संयोजित करना होगा।
ईमेल प्रमाणीकरण प्रोटोकॉल
SPF रिकॉर्ड, DKIM और DMARC का उचित कॉन्फ़िगरेशन एक प्रभावी नीति डोमेन स्पूफिंग को काफी हद तक कम कर देती है, जिससे हमलावरों को आपके डोमेन से उत्पन्न होने वाले प्रतीत होने वाले अनधिकृत संदेश भेजने से रोका जा सकता है। DMARC रिजेक्ट यह सुनिश्चित करता है कि आपके डोमेन से होने का दावा करने वाले अनधिकृत संदेश प्राप्तकर्ताओं तक न पहुंचें, जिससे आपके कर्मचारियों को स्पूफिंग से और आपके ग्राहकों को आपकी संस्था का रूप धारण करने वाले हमलावरों से सुरक्षा मिलती है।
उन्नत ईमेल सुरक्षा प्लेटफ़ॉर्म
कृत्रिम बुद्धिमत्ता (AI) से संचालित ईमेल सुरक्षा उपकरण लोगों के संचार के सामान्य तरीकों पर नज़र रखते हैं और उन गतिविधियों की पहचान करते हैं जो इन पैटर्न से हटकर होती हैं। उदाहरण के लिए, ये उन ईमेल को चिह्नित कर सकते हैं जो प्रेषक के सामान्य लहजे या शब्दों से स्पष्ट रूप से भिन्न हों, या अपरिचित स्थानों या IP पतों से किए गए लॉगिन प्रयासों को चिह्नित कर सकते हैं। चूंकि ये सिस्टम केवल ज्ञात दुर्भावनापूर्ण लिंक या अटैचमेंट को स्कैन करने के बजाय व्यवहार का विश्लेषण करते हैं, इसलिए ये सुनियोजित BEC प्रयासों का पता लगा सकते हैं जिन्हें पारंपरिक हस्ताक्षर-आधारित फ़िल्टर अक्सर पकड़ नहीं पाते हैं।
बहु-कारक प्रमाणीकरण (MFA)
सभी ईमेल खातों पर मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) लागू करने से खाता हैक होने से बचाव होता है, जो कि बीईसी (BEC) के सबसे विश्वसनीय तरीकों में से एक है। जब हमलावर किसी असली कर्मचारी के इनबॉक्स तक पहुंच प्राप्त कर लेते हैं, तो उनके संदेश पूरी तरह से वैध प्रतीत होते हैं क्योंकि वे एक प्रामाणिक, विश्वसनीय पते से भेजे जाते हैं। एमएफए सत्यापन का एक दूसरा चरण जोड़ता है, इसलिए यदि हमलावर फ़िशिंग के माध्यम से पासवर्ड चुरा भी लेते हैं, तब भी वे लॉग इन करके धोखाधड़ी वाले संदेश भेजने के लिए खाते का उपयोग नहीं कर सकते।
डोमेन निगरानी
अपने संगठन के डोमेन के मिलते-जुलते संस्करणों को पंजीकृत करें, जैसे कि वर्तनी की मामूली गलतियाँ या हाइफ़न वाले संस्करण, ताकि हमलावर उनका उपयोग न कर सकें। इसके अलावा, नए बनाए गए डोमेन के पंजीकरण पर नज़र रखें जो आपके ब्रांड से मिलते-जुलते हों। इन डोमेन का जल्द पता लगाने से BEC अभियान की तैयारी का संकेत मिल सकता है और आपको धोखाधड़ी वाले ईमेल भेजे जाने से पहले जांच करने या बचाव के उपाय करने का समय मिल सकता है।
कर्मचारी प्रशिक्षण
बीईसी पर केंद्रित नियमित, परिदृश्य-आधारित प्रशिक्षण कर्मचारियों को उन सूक्ष्म खतरों को पहचानने में सक्षम बनाता है जिन्हें स्वचालित सुरक्षा उपकरण अनदेखा कर सकते हैं। कर्मचारियों को निम्नलिखित की पहचान करने का अभ्यास करना चाहिए:
- डिस्प्ले नाम स्पूफिंग बनाम वास्तविक प्रेषक पते
- तत्काल कार्रवाई और गोपनीयता के दबाव की रणनीति
- असामान्य वित्तीय अनुरोध पैटर्न
- द्वितीयक चैनलों के माध्यम से अनुरोधों को कैसे सत्यापित करें
बीईसी सिमुलेशन अभ्यास, जिसमें आईटी नियंत्रित नकली बीईसी संदेश भेजकर कर्मचारियों की प्रतिक्रियाओं का परीक्षण करता है, प्रशिक्षण की कमियों की पहचान करता है और कक्षा में दिए जाने वाले निर्देशों की तुलना में अधिक प्रभावी ढंग से व्यावहारिक पहचान कौशल विकसित करता है।
वित्तीय नियंत्रण
वित्तीय सुरक्षा उपाय यह सुनिश्चित करते हैं कि यदि कोई भ्रामक ईमेल किसी कर्मचारी तक पहुँच भी जाता है, तो भी वह तुरंत अपरिवर्तनीय भुगतान संबंधी कार्रवाई को शुरू नहीं कर सकता है।
वायर ट्रांसफर के लिए दोहरी प्राधिकरण
निर्धारित सीमा से अधिक राशि के वायर ट्रांसफर के लिए दो स्वतंत्र स्वीकृतियों की आवश्यकता होती है। बीईसी हमले अक्सर ऐसी स्थितियों का फायदा उठाते हैं जहां केवल एक व्यक्ति के पास धनराशि जारी करने का अधिकार होता है, जिससे वह व्यक्ति धोखे का मुख्य निशाना बन जाता है। दोहरी स्वीकृति की आवश्यकता यह सुनिश्चित करती है कि यदि एक कर्मचारी को गुमराह भी किया जाता है, तो दूसरी समीक्षा संगठन से धन निकलने से पहले एक महत्वपूर्ण सुरक्षा उपाय प्रदान करती है।
आउट-ऑफ-बैंड सत्यापन
नए खातों, बदले हुए बैंकिंग विवरणों या असामान्य राशियों से संबंधित किसी भी भुगतान निर्देश के लिए, पहले से निर्धारित और ज्ञात फ़ोन नंबरों का उपयोग करके फ़ोन सत्यापन अनिवार्य करने वाली नीति स्थापित करें। कर्मचारियों को इन अनुरोधों की पुष्टि करते समय ईमेल में दी गई संपर्क जानकारी पर कभी भी भरोसा नहीं करना चाहिए। किसी विश्वसनीय माध्यम से की गई एक साधारण सत्यापन कॉल, धनराशि हस्तांतरित होने से पहले ही कई वित्तीय धोखाधड़ी के प्रयासों को रोक सकती है।
भुगतान परिवर्तन अनुरोध प्रक्रियाएँ
वेंडर बैंकिंग परिवर्तन अनुरोधों के लिए एक सुव्यवस्थित प्रक्रिया स्थापित करें जिसमें किसी भी अपडेट को स्वीकृत करने से पहले कई सत्यापन चरण शामिल हों। इसमें स्थापित वेंडर संपर्कों को सीधे कॉल करना और प्रोसेसिंग से पहले प्रतीक्षा अवधि शामिल होनी चाहिए। परिवर्तनों के लिए नियमित प्रक्रियाएं हमलावरों की प्रभावशीलता को कम करती हैं।
नीति क्रियान्वयन
वित्तीय प्राधिकरण, भुगतान परिवर्तन अनुरोधों और असामान्य डेटा साझाकरण अनुरोधों से संबंधित स्पष्ट, लिखित नीतियां कर्मचारियों को संदिग्ध स्थितियों से निपटने के लिए एक ढांचा प्रदान करती हैं, जिससे उन्हें यह महसूस नहीं होता कि वे वैध प्राधिकार पर सवाल उठा रहे हैं। ऐसी नीतियां जिनमें स्पष्ट रूप से कहा गया हो कि "हम कभी भी केवल ईमेल के माध्यम से तत्काल वायर ट्रांसफर का अनुरोध नहीं करेंगे", बीईसी हमलों द्वारा उपयोग किए जाने वाले दबाव को कम करती हैं।
ईमेल सूचियों की सफाई नियमित रूप से प्रभावी बीईसी पहचान का समर्थन करता है, क्योंकि उच्च उछाल खराब रेट और प्रेषक की खराब प्रतिष्ठा सुरक्षा फ़िल्टरिंग को कमजोर कर सकती है जो संदिग्ध संदेशों को पकड़ने में मदद करती है।
नीचे पंक्ति
व्यावसायिक ईमेल सुरक्षा उल्लंघनों में सफलता इसलिए मिलती है क्योंकि ये तकनीकी खामियों के बजाय संगठनात्मक भरोसे का फायदा उठाते हैं। हमलावर शोध में निवेश करते हैं, विश्वसनीय प्रतिरूपण तैयार करते हैं, और दुर्भावनापूर्ण कोड की एक भी पंक्ति की आवश्यकता के बिना, वित्तीय लेनदेन और संवेदनशील डेटा को संभालने वाले विशिष्ट लोगों और प्रक्रियाओं को लक्षित करते हैं।
रोकथाम के लिए उस परिष्कार को स्तरित सुरक्षा उपायों के साथ मिलाना आवश्यक है: प्रमाणीकरण प्रोटोकॉल जो डोमेन स्पूफिंग को रोकते हैं, एमएफए जो खाता अधिग्रहण को रोकता है, कर्मचारी प्रशिक्षण जो बीईसी-विशिष्ट पहचान कौशल विकसित करता है, और वित्तीय नियंत्रण जो असामान्य अनुरोधों को संसाधित करने से पहले आउट-ऑफ-बैंड सत्यापन की आवश्यकता होती है।
स्वच्छ ईमेल इन्फ्रास्ट्रक्चर बनाए रखना आपकी बीईसी सुरक्षा रणनीति का एक हिस्सा है। इसका उपयोग करें। debounce संपर्क सूचियों को सत्यापित करने और बाउंस हुए ईमेल को कम करने के लिए, जो प्रेषक की प्रतिष्ठा को कमजोर करते हैं। जब आपका संपर्क डेटा सटीक होता है और आपके प्रमाणीकरण नियंत्रण सही ढंग से कॉन्फ़िगर किए गए होते हैं, तो स्थापित विक्रेता और भागीदार संबंधों के बाहर से आने वाले संदेशों का पता लगाना आसान हो जाता है, जिससे बीईसी प्रयासों को सफलतापूर्वक निष्पादित करना अधिक कठिन हो जाता है।
