ה- FBI, ה- FDA ומשרד החקלאות האמריקאי (USDA) מזהירים מפני מתקפות פגיעה בדוא"ל עסקי (Business Email Compromise – BEC) המובילות לגניבת משלוחים של מוצרי מזון. בשימוש לרוב לגניבת כסף, BEC קשור למתקפות האקרים על חשבונות דוא"ל בחברות יעד ולאחר מכן התמקדות בעובדים האחראים על ביצוע התשלומים באמצעות דוא"ל הונאה המורה להם להעביר כמויות גדולות של כסף לחשבונות בנק שבשליטת ההאקרים. בהתקפות המכוונות למגזר המזון והחקלאות לעומת זאת, משתמשים ההאקרים בדוא"ל מזויף ובדומיינים מזויפים כדי להתחזות לחברות לגיטימיות ולהזמין מוצרי מזון מבלי לשלם עבורם. בתקריות שנצפו, גנבו ההאקרים משלוחים בשווי של מאות אלפי דולרים.
הסוכנויות לעיל מזהירות כי פושעי סייבר עשויים לארוז מחדש מוצרים גנובים לשם מכירה אישית, ללא התחשבות בתקנות בטיחות המזון ובנוהלי התברואה, להסתכן בזיהום או בהשמטת מידע הכרחי לגבי מרכיבים, אלרגנים או תאריכי תפוגה. כמו כן, עלולים מוצרים מזויפים באיכות פחותה לפגוע במוניטין של היצרן או הספק. ההאקרים מסוגלים ליצור חשבונות דוא"ל ואתרי אינטרנט הדומים מאוד לאלו של חברות לגיטימיות או עשויים להשתמש ב-spearphishing ובטכניקות אחרות כדי לגנוב חשבונות דוא"ל בעסק לגיטימי ולשלוח מהם הודעות הונאה. כדי להוסיף לגיטימציה לטענותיהם, עשויים ההאקרים להשתמש בשמות של מנהלים או עובדים בעת תקשורת עם עסקי הקורבנות וכן עשויים להשתמש בלוגואים לגיטימיים של החברה במיילים ובמסמכים המזויפים שלהם. לדברי הסוכנויות הממשלתיות, מסוגלים ההאקרים גם לזייף בקשות אשראי כדי להערים על החברה הנפגעת להענקת אשראי. התוקפים מספקים מצג שווא של חברה לגיטימית כך שעסק היעד שולח את המוצרים שהוזמנו, אך לעולם לא יקבל תשלום עבורם.
אחת מהמתקפות שנצפו לאחרונה כוונה לספק סוכר אמריקאי שהתבקש לשלוח משאית מלאה בסוכר, אך זיהה את המייל המזויף ויצר קשר עם החברה הלגיטימית לצורך אימות. במתקפה נוספת, שלח מפיץ מזון שתי משאיות מלאות של אבקת חלב לאחר שקיבל אימייל מחשבון מזוייף, אך השתמש בשמו האמיתי של סמנכ"ל הכספים של חברת מזון ומשקאות רב לאומית. החברה שנפלה קורבן לתרמית נאלצה לשלם 160,000$ לספק. במקרה אחר השתמשו התוקפים בזהות של חברה אמריקאית כדי לבצע הזמנות הונאה למשלוחים גדולים של אבקת חלב ומרכיבים אחרים וגרמו להפסדים של למעלה מ- 430,000$. בחודש אפריל השנה, הייתה יצרנית וספקית מזון אמריקאית תחת מתקפת BEC שזייפה אימייל של חברה לגיטימית וביצעה שני משלוחים בשווי של יותר מ- 100,000$, עליהם מעולם לא קיבלה תשלום. בפברואר, קיבל יצרן מזון אחר הזמנות בשווי של כמעט 600,000$ מארבע חברות הונאה שונות ומעולם לא קיבל עבורן תשלום.
לחברות מזון וחקלאות מומלץ לאמת את פרטי ההתקשרות של ספקים או של לקוחות חדשים, לבדוק קישורים וכתובות דואר אלקטרוני לשם איתור אינדיקטורים של זיוף, לבדוק את הניסוח והדקדוק של כל התכתובת, לאמת שינויים בחשבוניות ובפרטי התשלום, להיזהר מבקשות דחופות לגבי תשלומים והזמנות, לבקש הבהרה לגבי בקשות חשודות וכן, ללמד את העובדים כיצד לזהות הונאות BEC באמצעות שיעורי מודעות לאיומי סייבר.
