BEC attacks: Most victims aren’t using multi-factor authentication – apply it now and stay safe

There has been a big rise in Business Email Compromise (BEC) attacks – and most victims work at organisations which weren't using multi-factor authentication (MFA) to secure their accounts.

BEC ਹਮਲੇ ਸਾਈਬਰ ਅਪਰਾਧ ਦੇ ਸਭ ਤੋਂ ਵੱਧ ਮੁਨਾਫ਼ੇ ਵਾਲੇ ਰੂਪਾਂ ਵਿੱਚੋਂ ਇੱਕ ਹਨ: FBI ਦੇ ਅਨੁਸਾਰ, ਸੰਯੁਕਤ ਕੁੱਲ ਨੁਕਸਾਨ $43 ਬਿਲੀਅਨ ਤੋਂ ਵੱਧ ਹੈ ਅਤੇ ਗਿਣਤੀ ਹੈ, ਘੱਟੋ-ਘੱਟ 177 ਦੇਸ਼ਾਂ ਵਿੱਚ ਹਮਲਿਆਂ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ ਗਈ ਹੈ।

These attacks are relatively simple for cyber criminals to carry out – all they need is access to an email account and some patience as they try to trick victims into making financial transfers under false presences. This commonly involves sending messages to employees, purportedly from their boss or a colleague, that suggest a payment — often very large — must be made quickly in order to secure an important business deal.

ਵਧੇਰੇ ਉੱਨਤ BEC ਹਮਲੇ ਇੱਕ ਕੰਪਨੀ ਖਾਤੇ ਵਿੱਚ ਹੈਕ ਕਰਦੇ ਹਨ ਅਤੇ ਭੁਗਤਾਨ ਦੀ ਬੇਨਤੀ ਕਰਨ ਲਈ ਇੱਕ ਜਾਇਜ਼ ਈਮੇਲ ਪਤੇ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। 

It's even been known for scammers to monitor inboxes for long periods of time, only choosing to strike when a real business transaction is about to be made — at which point they cut in and direct the payment to their own account.

SEE: The biggest cyber-crime threat is also the one that nobody wants to talk about

ਇਸ ਤਰੀਕੇ ਨਾਲ ਪੈਸਾ ਕਮਾਉਣ ਨਾਲ, ਸਾਈਬਰ ਅਪਰਾਧੀ ਬੀਈਸੀ ਮੁਹਿੰਮਾਂ ਵੱਲ ਵੱਧ ਰਹੇ ਹਨ ਅਤੇ ਕਾਰੋਬਾਰ ਇਸ ਦਾ ਸ਼ਿਕਾਰ ਹੋ ਰਹੇ ਹਨ। 'ਤੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਦੇ ਅਨੁਸਾਰ ਆਰਕਟਿਕ ਬਘਿਆੜ, ਜਨਵਰੀ-ਮਾਰਚ ਅਤੇ ਅਪ੍ਰੈਲ-ਜੂਨ ਦੇ ਵਿਚਕਾਰ ਬੀਈਸੀ ਹਮਲਿਆਂ ਦੀ ਸੰਖਿਆ ਜਿਨ੍ਹਾਂ ਦਾ ਉਹਨਾਂ ਨੇ ਜਵਾਬ ਦਿੱਤਾ ਹੈ - ਅਤੇ ਇਹ ਹਮਲੇ ਜਾਂਚ ਕੀਤੀਆਂ ਗਈਆਂ ਸਾਰੀਆਂ ਘਟਨਾਵਾਂ ਦੇ ਇੱਕ ਤਿਹਾਈ ਤੋਂ ਵੱਧ ਹਨ।

There was a common theme among many of the victims: according to incident responders, 80% of the organisations which fell victim to BEC attacks didn't have MFA in place.

Multi-factor authentication provides an extra layer of security for email accounts and cloud application suites, requiring the user to verify that it really was them who logged into the account, helping to protect against unauthorised intrusions — even if the attacker has the correct username and password.

Organisations that ignore MFA are leaving themselves open to BEC campaigns and other cyber attacks – despite repeated recommendations from cybersecurity agencies that it should be applied. So why aren't they using it?

“MFA ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਲਾਗੂ ਕਰਨ ਲਈ ਸਾਵਧਾਨੀਪੂਰਵਕ ਯੋਜਨਾਬੰਦੀ ਅਤੇ ਤਾਲਮੇਲ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਸੰਸਥਾਵਾਂ ਬਿਨਾਂ ਕਿਸੇ ਰੁਕਾਵਟ ਦੇ ਕੰਮ ਕਰਨਾ ਜਾਰੀ ਰੱਖ ਸਕਦੀਆਂ ਹਨ। ਕਿਉਂਕਿ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਐਮਐਫਏ ਪ੍ਰਣਾਲੀ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਸਿਖਲਾਈ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਇਹ ਕੁਝ ਸੰਸਥਾਵਾਂ ਲਈ ਮੁਸ਼ਕਲ ਹੋ ਸਕਦਾ ਹੈ, ”ਆਰਕਟਿਕ ਵੁਲਫ ਲੈਬਜ਼ ਦੇ ਖ਼ਤਰੇ ਦੀ ਖੁਫੀਆ ਖੋਜ ਦੇ ਮੈਨੇਜਰ ਐਡਰੀਅਨ ਕੋਰਨ ਨੇ ZDNET ਨੂੰ ਦੱਸਿਆ। 

“ਇਸ ਤੋਂ ਇਲਾਵਾ, ਕਿਸੇ ਸੰਗਠਨ ਵਿੱਚ ਇੱਕ ਨਵੀਂ ਐਮਐਫਏ ਤੈਨਾਤੀ ਦੀ ਸੰਰਚਨਾ ਅਤੇ ਜਾਂਚ ਕਰਨਾ ਪਹਿਲਾਂ ਹੀ ਤਣਾਅ ਵਾਲੇ ਆਈਟੀ ਵਿਭਾਗਾਂ ਉੱਤੇ ਭਾਰੀ ਬੋਝ ਪਾ ਸਕਦਾ ਹੈ,” ਉਸਨੇ ਅੱਗੇ ਕਿਹਾ। 

ਵੀ: ਇੰਟਰਨੈਟ ਦਾ ਡਰਾਉਣਾ ਭਵਿੱਖ: ਕਿਵੇਂ ਕੱਲ੍ਹ ਦੀ ਤਕਨੀਕ ਹੋਰ ਵੀ ਵੱਡੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖਤਰੇ ਪੈਦਾ ਕਰੇਗੀ

Despite these potential restraints, applying MFA to all user accounts is one of the most significant things organisations can do to help protect their employees and their network from cyber attacks – if they're set up correctly.

“ਸੰਗਠਨਾਂ ਨੂੰ ਉਨ੍ਹਾਂ ਦੇ ਐਮਐਫਏ ਤੈਨਾਤੀਆਂ ਦੀ ਪਹਿਲਾਂ ਤੋਂ ਹੀ ਯੋਜਨਾ ਬਣਾਉਣੀ ਚਾਹੀਦੀ ਹੈ ਤਾਂ ਜੋ ਉਨ੍ਹਾਂ ਨੂੰ ਤਕਨੀਕੀ ਅੜਚਨਾਂ ਦਾ ਸਾਹਮਣਾ ਕੀਤਾ ਜਾ ਸਕੇ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸੰਗਠਨਾਂ ਨੂੰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਸਮਾਂ ਲੈਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਐਮਐਫਏ ਸੰਰਚਨਾਵਾਂ ਦੀ ਪ੍ਰਾਈਮ ਟਾਈਮ ਤੋਂ ਪਹਿਲਾਂ ਜਾਂਚ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਸ ਬਾਰੇ ਚੰਗੀ ਤਰ੍ਹਾਂ ਸਿਖਲਾਈ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਪਸੰਦ ਦੇ ਨਵੇਂ ਐਮਐਫਏ ਪਲੇਟਫਾਰਮ ਦੀ ਵਰਤੋਂ ਕਿਵੇਂ ਕਰਨੀ ਹੈ, ”ਕੋਰਨ ਨੇ ਕਿਹਾ। 

But while MFA does help to prevent cyber attacks, it isn't infallible and determined cyber criminals are finding ways to bypass it.  

With BEC attacks using social engineering to trick people into thinking they're doing right thing, it's also important for organisations to train their employees to detect when a request — even if it comes from a legitimate account — could be suspicious. 

"ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸ਼ੱਕੀ ਵਿੱਤੀ ਬੇਨਤੀਆਂ ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ ਸਿਖਲਾਈ ਦਿੱਤੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ। ਜੇਕਰ ਕੋਈ ਚੀਜ਼ ਖਰਾਬ ਮਹਿਸੂਸ ਹੁੰਦੀ ਹੈ, ਤਾਂ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਸ ਪ੍ਰਵਿਰਤੀ ਵੱਲ ਧਿਆਨ ਦੇਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਹੋਰ ਪੁੱਛਗਿੱਛ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ। ਵੱਡੇ ਲੈਣ-ਦੇਣ ਨੂੰ ਅੰਤਿਮ ਰੂਪ ਦੇਣ ਤੋਂ ਪਹਿਲਾਂ ਜ਼ਰੂਰੀ ਵਿੱਤੀ ਬੇਨਤੀਆਂ ਨੂੰ ਵਾਧੂ ਸਾਧਨਾਂ ਰਾਹੀਂ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ”ਕੋਰਨ ਨੇ ਕਿਹਾ। 

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਬਾਰੇ ਹੋਰ