Close< Previous | Next >

 

 

 

Security information regarding Business E-mail Compromise

En français | En Español | 繁體中文 | 简体中文 | العربية

We want you to be aware of the different ways criminals may try to steal not just your money but also your company’s identity.

The Business E-mail Compromise (BEC) is a sophisticated scam targeting businesses working with foreign suppliers and/or businesses that regularly perform payments using an e-mail from a company owner (CEO or CFO) as the authority to carry out the payment. Little does the payment processor know that the e-mail is not a genuine request.

There are two variations of this type of fraud, which are as follows:

  • E-mail spoofing:
    This involves the manipulation of an e-mail address to make the sender’s e-mail address appear to have originated from someone or somewhere other than the actual source. The fraudster spoofs the vendor’s e-mail to submit the modified invoice. It doesn’t require compromising the vendor’s e-mail system, but instead sends the invoice from an e-mail that is so close to the domain of the vendor that most people would miss the change. For example, user@CompanyACB.com, instead of user@CompanyABC.com.

  • Compromised e-mail account:
    This involves the compromise of an executive’s e-mail account within the organisation, such as the CFO (Chief Financial Officer). Using the compromised e-mail account, the fraudster sends a request for a payment to another, often junior, employee to action.

Points to remember:

  1. Make sure that staff are advised to check the e-mail address the payment request is sent from, and have suitable processes in place to verify any new payment request received via e-mail. We recommend that individuals always check directly with the supplier/requestor through an alternative communication, such as a phone call to a trusted source in the company, to confirm that the change request is genuine.

  2. When reviewing any type of payment instructions from an internal source such as the CEO, CFO or other administrator, ensure the request uses your organisation’s official channels and follows authorised processes and procedures.

  3. Regularly review your organisation’s controls to make sure that you have suitable payment controls in place to not fall victim to this type of fraud.

Informations de sécurité relatives au risque lié aux e-mails professionnels

Ce message a pour objectif de vous informer sur les différents moyens employés par les criminels pour voler non seulement votre argent, mais aussi l'identité de votre entreprise.

La méthode dite « BEC » (Business E-mail Compromise, fraude par usurpation des e-mails professionnels) est un type de fraude sophistiqué visant les entreprises qui travaillent avec des fournisseurs à l'étranger et/ou envoient des ordres de paiement sous forme d'e-mails émis par un cadre de l'entreprise (PDG, directeur financier, etc.). L'intermédiaire qui procède au paiement n'a alors aucune raison de penser que le message n'est pas une demande légitime.

Il existe deux variantes de ce type de fraude :

  • Usurpation d'e-mail :
    Cette méthode consiste à manipuler l'adresse e-mail de façon à faire croire que l'e-mail a été envoyé par une personne ou une entité différente de l'expéditeur réel. La facture modifiée est envoyée à partir d'une adresse usurpée. Cette méthode ne nécessite pas le piratage du système de messagerie du fournisseur. Au lieu de cela, la facture est envoyée à partir d'une adresse e-mail dont le nom de domaine est si proche du nom réel que la plupart des gens ne voient pas la différence. Exemple : utilisateur@EntrepriseACB.com au lieu de utilisateur@EntrepriseABC.com.

  • Piratage d'un compte de messagerie :
    Cette méthode nécessite le piratage du compte de messagerie d'un cadre de l'entreprise, par exemple le directeur financier. L'escroc utilise le compte de messagerie piraté pour envoyer une demande de paiement à un employé, la plupart du temps peu expérimenté.

Points à retenir :

  1. Assurez-vous que le personnel sait qu'il doit vérifier l'adresse e-mail à partir de laquelle la demande de paiement a été envoyée. Des processus permettant de vérifier toute nouvelle demande de paiement reçue par e-mail doivent avoir été mis en place. Nous recommandons de vérifier systématiquement la légitimité de ces demandes en contactant le fournisseur/demandeur par un autre moyen (appel téléphonique, autre source fiable dans l'entreprise, etc).

  2. Lorsque vous examinez un type d'instruction de paiement provenant d'une source en interne (PDG, directeur financier ou autre cadre administratif), assurez-vous que cette demande passe par les moyens de communication officiels de votre entreprise et respecte les procédures et processus autorisés.

  3. Vérifiez régulièrement les processus de contrôle des paiements en vigueur dans votre entreprise pour vous assurer qu'ils offrent une protection suffisante contre ce type de fraude.

Seguridad de la información en relación con la intervención del Correo Electrónico Corporativo

Queremos que tengan en cuenta los diferentes métodos que utilizan los delincuentes para intentar robar no solo su dinero, sino también la identidad de su empresa.

La Intervención del Correo Electrónico Corporativo (BEC por sus siglas en Inglés) es una sofisticada estafa dirigida a las empresas que trabajan con proveedores extranjeros o a las empresas que hacen pagos regulares a través del correo electrónico de un propietario de la empresa (CEO o CFO) en nombre de la autoridad para efectuar el pago. Sin embargo, el emisor del pago no sabe que el correo electrónico no es una solicitud real.

Este tipo de fraude tiene dos variaciones:

  • Falsificación del correo electrónico:
    Implica la manipulación de una dirección de correo electrónico para aparentar que proviene de alguien o de un lugar distinto a la fuente original. El estafador falsifica el correo electrónico del proveedor para enviar la factura modificada. No necesita intervenir el sistema de correo electrónico del proveedor, sino que envía la factura desde un correo electrónico que es tan parecido al correo del proveedor que la mayoría de la gente no nota la diferencia. Por ejemplo, user@CompanyACB.com, en lugar de user@CompanyABC.com.

  • Intervención de cuenta de correo electrónico:
    Esto implica intervenir la cuenta de correo electrónico de un ejecutivo de la empresa, como el CFO (Chief Financial Officer). Con la cuenta de correo electrónico intervenida, el estafador envía una solicitud de pago a otro empleado, por lo general a uno más joven, para efectuar la estafa.

Recuerde:

  1. Asegúrese de indicarle al personal que verifiquen la dirección de correo electrónico de donde proviene la solicitud de pago, y de que cuentan con los procesos adecuados para verificar cualquier solicitud de pago nueva que reciban por correo electrónico. Recomendamos que los individuos siempre verifiquen directamente con el proveedor o solicitante por otro medio de comunicación, como una llamada telefónica a una fuente de confianza en la empresa. De esta forma, pueden confirmar que la solicitud es auténtica.

  2. Cuando revise cualquier tipo de instrucción de pago proveniente de una fuente interna, como el CEO, CFO u otro administrador de la empresa, asegúrese de que la solicitud utiliza los canales oficiales de su organización y que sigue los procesos y procedimientos autorizados.

  3. Revise regularmente los controles de su organización para asegurarse de que cuentan con los controles de pago adecuados para no ser víctimas de este tipo de estafa.

關於「企業電子郵件盜用」的安全資訊

我們要提醒您,詐騙犯運用多種犯罪手法,不只意圖竊取錢財,甚
至會盜用您的公司身分。

「企業電子郵件盜用」(BEC) 是一種高超的詐騙方式,專挑與國外供應商往來的企業,及/或經常由企業高級主管 (CEO) 或 財務長(CFO) 以電子郵件方式授權付款的企業下手。 而款項處理人員不容易察覺這類電子郵件中的付款要求是虛構的。

這類詐騙常用兩種手法,如下所述:

  • 電子郵件詐騙:
    這牽涉到竄改電子郵件地址,讓寄件者的電子郵件地址看似由某人或某地方寄出,但其實不然。 詐騙犯會仿冒廠商的電子郵件並寄出經過竄改的發票。 這種手法不需要實際侵入廠商的電子郵件系統,只要從一個跟該廠商網域看起來很相似的電子郵件寄出發票即可,而且大多數人不會注意到其中的差異。 例如,他們使用 user@CompanyACB.com,但正確應該是 user@CompanyABC.com。

  • 侵入電子郵件帳戶:
    這牽涉到侵入組織內高級主管 (例如財務長 (CFO) 的電子郵件帳戶。 詐騙犯會利用這個遭侵入的電子郵件帳戶,發送付款要求給其他 (通常是資淺) 員工來執行付款。

記住重點:

  1. 務必提醒公司人員檢查付款要求來源的電子郵件地址,並設有適當流程可供驗證透過電子郵件所收到的任何新付款要求。 我們建議公司人員一律要透過其他溝通管道,例如打電話聯繫供應商/發票人公司內部的可靠人士,直接向其確認此異動要求是否屬實。

  2. 當審閱內部來源 (例如 CEO、CFO 或其他行政人員) 提供的任何類型之付款指示時,請確保該要求是依循您組織內的正式管道,並且確實遵守授權的流程和程序。

  3. 定期審閱您組織的控管機制,確保已設有適當的付款控管,以防淪為此類詐騙的受害者。



关于业务电子邮件隐患的安全信息

我们想让您知道犯罪分子可能会利用哪些不同的方式来窃取您的钱财,甚至窃取您公司的身份。

盗用业务电子邮件 (BEC) 是一种高级骗局伎俩,专门针对与外国供应商打交道的业务和/或根据公司的所有人 (CEO 或 CF0) 的邮件授权进行定期付款的业务。 付款处理方基本上不知道该电子邮件是虚假的付款请求邮件。
这类诈骗有以下两种形式:

  • 电子邮件欺骗:
    这种诈骗方式涉及篡改电子邮件地址,使发件人的电子邮件地址显示为某人或某地,而不是实际的发件地址。 诈骗人假冒供应商的电子邮件,然后提交修订过的发票。 采取这种方式实施诈骗时,诈骗人无需盗用供应商的电子邮件系统,只需通过近似供应商域名的电子邮件发送发票即可,大多数人往往会忽略这点变化。 例如,用user@CompanyACB.com替换user@CompanyABC.com。

  • 盗用电子邮件账户:
    这种诈骗方式涉及盗取组织高级管理人员的电子邮件账户,如 CFO(首席财务总监)。 诈骗人利用盗用的电子邮件账户,发送付款请求给另一方,通常是发送给下级或员工进行付款。

须谨记的要点:

  1. 请确保员工遵从建议核对发出付款请求的邮件地址,并妥善启用了合适的流程以验证通过邮件收到的任何新付款请求。 我们建议个人始终要通过其他方式直接跟供应商/请求方核对情况,如致电公司内的可信任人士,确认变更请求是否真实。

  2. 审核 CEO、CFO 或其他管理人员等内部人士发出的付款指示时,请确保付款请求是从公司的官方渠道发出,并遵循了授权流程和步骤。

  3. 定期审核您公司的控制措施,确保妥善启用了合适的付款控制措施,以免上当受骗。






Back to top | Close< Previous | Next >

Please do not reply to this e-mail.

The postal address for related inquiries is:
HSBC Group Head Office
HSBC - E-Channels
London UK E14 5HQ

This communication is provided by HSBC Bank plc on behalf of the member of the HSBC Group that has contracted with your organisation for the provision of HSBCnet services. You received this e-mail notification because you are a registered User of HSBCnet. Should you have any concerns regarding the validity of this message, please contact your local HSBCnet customer support.

We maintain strict security standards and procedures to prevent unauthorised access to information about you. HSBC will never contact you by e-mail or otherwise ask you to validate personal information, such as your Username, Password or account numbers. If you receive such a request, please call your local HSBCnet customer support. Links within our e-mails will only take you to information pages.

If you wish to unsubscribe from receiving service information from HSBCnet, please click here.

© Copyright. HSBC Bank plc 2016. All rights reserved.

Privacy & Data Protection Statement | Terms & Conditions