Một công dân Nigeria đã bị bắt ở Ghana và đang phải đối mặt với các cáo buộc liên quan đến các cuộc tấn công thỏa hiệp email doanh nghiệp (BEC) khiến một tổ chức từ thiện ở Hoa Kỳ mất hơn 7,5 triệu đô la.
Olusegun Samson Adejorin đã bị bắt vào ngày 29/12 vì lừa đảo hai tổ chức từ thiện ở Maryland và New York, theo bản cáo trạng của bồi thẩm đoàn liên bang gồm tám tội danh ở Mỹ.
Cụ thể, Adejorin phải đối mặt với cáo buộc gian lận chuyển khoản, đánh cắp danh tính nghiêm trọng hơn và truy cập trái phép vào một máy tính được bảo vệ liên quan đến các cuộc tấn công nhằm vào hai tổ chức từ thiện có trụ sở tại Maryland, đỉnh điểm là biển thủ 7,5 triệu đô la.
Trong một thông báo trong tuần này, Bộ Tư pháp Mỹ (DoJ) cho biết kế hoạch lừa đảo của Adejorin xảy ra trong khoảng thời gian từ tháng 6 đến tháng 8/2020 và liên quan đến việc truy cập trái phép vào tài khoản email cũng như mạo danh nhân viên.
Đóng giả là nhân viên của một tổ chức từ thiện (Nạn nhân 2), Adejorin yêu cầu rút số tiền lớn từ tổ chức từ thiện khác (Nạn nhân 1), nơi cung cấp dịch vụ đầu tư cho Nạn nhân 2.
Để xử lý thành công việc rút tiền trên 10.000 đô la, Adejorin đã sử dụng thông tin bị đánh cắp để gửi email từ tài khoản của nhân viên cần phê duyệt giao dịch.
Sau những hành động này, Adejorin đã lừa thành công nạn nhân 1 chuyển 7,5 triệu đô la vào tài khoản ngân hàng mà kẻ tấn công kiểm soát, trong khi tổ chức tin rằng họ đang gửi số tiền vào tài khoản ngân hàng hợp pháp của Nạn nhân 2.
Adejorin phải đối mặt với hình phạt tối đa là 20 năm vì gian lận điện thoại, năm năm vì truy cập trái phép vào máy tính được bảo vệ và bản án bắt buộc là hai năm vì hành vi trộm cắp danh tính nghiêm trọng.
Thông báo của DoJ Hoa Kỳ cũng lưu ý rằng bản án có thể được gia hạn thêm bảy năm đối với việc đăng ký và sử dụng tên miền độc hại.
Các cuộc tấn công BEC, còn được gọi là gian lận CEO, có thể dẫn đến thiệt hại tài chính đáng kể. Mùa hè năm ngoái, một báo cáo từ FBI lưu ý rằng sự xâm phạm email doanh nghiệp đã gây ra thiệt hại hàng tỷ đô la Mỹ.
Một số biện pháp bảo vệ hợp lý cần xem xét bao gồm thực hiện xác thực đa yếu tố để giảm khả năng truy cập tài khoản trái phép, sử dụng bộ lọc email để phát hiện và chặn các nỗ lực lừa đảo và thiết lập quy trình xác minh làm cơ sở cho các yêu cầu chuyển khoản ngân hàng và liên quan đến việc sử dụng kênh liên lạc thứ cấp.