A BEC-támadások evolúciója és az emberi tényező kulcsszerepe

A BEC (Business Email Compromise) támadások 2025-ben új szintre léptek: az FBI szerint a bejelentett esetekben okozott kár meghaladta a 3,2 milliárd dollárt világszerte. A támadók célja egyszerű: kompromittálni egy céges e-mail fiókot, majd annak nevében utasítani pénzügyen dolgozó munkatérsakat új utalásokra vagy bizalmas információk átadására.

A mai BEC-támadások már nem nyelvtanilag hibás, feltűnően gyanús levelek: sokszor a vezérigazgató vagy pénzügyi igazgató e-mailcímének klónozásával, teljesen hihető stílusban érkeznek. A támadók gyakran több hetes megfigyelés után lépnek akcióba, kivárva a leggyengébb pillanatokat – például egy szabadságon lévő pénzügyes helyettesítését.

Az IC3 (Internet Crime Complaint Center) 2025-ös jelentése szerint az európai régióban a magyar cégek is egyre gyakrabban válnak célponttá, különösen a közepes méretű, 20–200 fős vállalatok. Ezeknél gyakran nincs dedikált IT biztonsági szakértő, és a pénzügyi protokollok sem mindig egyértelműek.

A védekezés több szinten zajlik: egyrészt technikai szinten szükséges a DMARC/SPF rekordok megfelelő beállítása, másrészt emberi oldalon az e-mail hitelesítés és pénzügyi tranzakciók többszintű jóváhagyása. Emellett a szimulált BEC-tesztek és belső kampányok is erősítik a munkatársak tudatosságát.

Forrás: FBI IC3 2025 Annual Report