Frauda CEO: această înșelătorie vă va lua foc și vă vor costa banii în funcție

Publicitate

Email-ul este un vector comun de atac folosit de fraude și infractori de calculator. Dar dacă ai crezut că este folosit doar pentru a răspândi malware, phishing și Înșelătorii în avans cu taxa nigeriană E-mailurile înșelătoriei nigeriene ascund un secret teribil? [Opinie]În altă zi, un alt e-mail de spam se încadrează în inbox-ul meu, întrucâtva se îndreaptă în jurul filtrului de spam Windows Live, care face o treabă atât de bună de a-mi proteja ochii de toate celelalte nesolicitate ... Citeste mai mult , mai gandeste-te. Există o nouă escrocherie bazată pe e-mail în care un atacator se va preface că este șeful tău și te va ajuta să transmiți mii de dolari de fonduri ale companiei într-un cont bancar pe care îl controlează.

Se numește CEO Fraud sau „Insider Spoofing”.

Înțelegerea atacului

Deci, cum funcționează atacul? Ei bine, pentru ca un atacator să-l scoată cu succes, trebuie să știe multe informații despre compania pe care o vizează.

O mare parte din aceste informații se referă la structura ierarhică a companiei sau instituției pe care o vizează. Trebuie să știe

care ei vor fi pretențioși. Deși acest tip de înșelătorie este cunoscut sub numele de „fraudă a CEO”, în realitate țintește oricine cu un rol superior - oricine ar fi capabil să inițieze plăți. Va trebui să știe numele lor și adresa de e-mail. De asemenea, vă va ajuta să cunoașteți programul lor și când vor călători sau în vacanță.

În cele din urmă, trebuie să știe cine în organizație este capabil să emită transferuri de bani, cum ar fi un contabil sau cineva care angajează departamentul de finanțe.

O mare parte din aceste informații pot fi găsite în mod liber pe site-urile web ale companiei în cauză. Multe companii de dimensiuni medii și mici au pagini „Despre noi”, unde își enumeră angajații, rolurile și responsabilitățile și informațiile de contact.

Găsirea programelor cuiva poate fi un pic mai dificilă. Marea majoritate a persoanelor nu își face publicitate calendarul online. Cu toate acestea, mulți oameni își fac publice mișcările pe site-urile de socializare, cum ar fi Twitter, Facebook și Swarm (fostă Foursquare) Foursquare se relansează ca instrument de descoperire bazat pe gusturile taleFoursquare a fost pionier în check-in-ul mobil; o actualizare a stării bazată pe locație care a spus lumii exact unde te-ai aflat și de ce - deci trecerea la un instrument de descoperire pură este un pas înainte? Citeste mai mult . Un atacator ar trebui doar să aștepte până când va ieși din birou și poate să lovească.

Sunt la Piața St George - @ stgeorgesbt1 în Belfast, Co. Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17 ianuarie 2016

Odată ce atacatorul va avea fiecare piesă din puzzle-ul de care are nevoie pentru a efectua atacul, va trimite apoi prin e-mail finanțarea angajat, pretinzând să fie CEO și solicitând ca aceștia să inițieze un transfer de bani într-un cont bancar pe care îl au Control.

Pentru ca acesta să funcționeze, e-mailul trebuie să arate autentic. Folosesc fie un cont de e-mail care pare „legitim” sau plauzibil (de exemplu [email protected]), sau deși „răsfățează” e-mailul autentic al CEO-ului. Aici se trimite un e-mail cu anteturi modificate, astfel că câmpul „De la” conține e-mailul autentic al CEO. Unii atacatori motivați vor încerca să-l determine pe CEO să-i trimită prin e-mail, astfel încât să poată dubla stilurile și estetica e-mailului lor.

Atacatorul va spera ca angajatul financiar să fie presat să inițieze transferul, fără să verifice mai întâi cu executivul vizat. Acest pariu plătește adesea, unele companii plătind în mod nedorit sute de mii de dolari. O companie din Franța care a fost profilat de BBC a pierdut 100.000 de euro. Atacatorii au încercat să obțină 500.000, dar toate plățile au fost blocate de bancă, care bănuia o fraudă.

Cum funcționează atacurile de inginerie socială

Amenințările tradiționale de securitate a computerului tind să fie de natură tehnologică. Drept urmare, puteți utiliza măsuri tehnologice pentru a învinge aceste atacuri. Dacă vă infectați cu malware, puteți instala un program antivirus. Dacă cineva a încercat să îți pirateze serverul web, poți angaja pe cineva să efectueze un test de penetrare și să te sfătuiască despre cum poți „împietri” mașina împotriva altor atacuri.

Atacuri de inginerie socială Ce este Ingineria Socială? [FaceUseOf Explică]Puteți instala cel mai puternic și mai scump firewall din industrie. Puteți educa angajații despre procedurile de securitate de bază și despre importanța alegerii parolelor solide. Puteți chiar bloca camera serverului - dar cum ... Citeste mai mult - dintre care frauda CEO este un exemplu - sunt mult mai greu de atenuat, deoarece nu atacă sisteme sau hardware. Atacă oamenii. În loc să exploateze vulnerabilitățile în cod, ei profită de natura umană și imperativul nostru biologic instinctiv de a avea încredere în alte persoane. Una dintre cele mai interesante explicații ale acestui atac a fost făcută în cadrul conferinței DEFCON din 2013.

Unele dintre cele mai îndrăznețe hackingly haudace a fost un produs al ingineriei sociale.

În 2012, fostul jurnalist Wired Mat Honan s-a găsit sub atacul unui cadru hotărât de infractori cibernetici, care erau hotărâți să-și demonteze viața online. Folosind tactici de inginerie socială, au reușit să convingă Amazon și Apple să le ofere informațiile de care aveau nevoie pentru a șterge de la distanță. MacBook Air și iPhone, ștergeți-i contul de e-mail și profitați de contul său de Twitter influent pentru a posta posturi rasiale și homofobe epitete. Tu pot citi povestea înfiorătoare aici.

Atacurile de inginerie socială sunt aproape o inovație nouă. Hackerii le folosesc de zeci de ani pentru a avea acces la sisteme, clădiri și informații de zeci de ani. Unul dintre cei mai cunoscuți ingineri sociali este Kevin Mitnick, care la mijlocul anilor 90 a petrecut ani ascunși de poliție, după ce a comis un șir de crime informatice. El a fost închis timp de cinci ani și i s-a interzis să folosească un computer până în 2003. Pe măsură ce hackerii merg, Mitnick era cât mai aproape de tine având statut de rockstar 10 dintre cei mai cunoscuți și cei mai buni hackeri din lume (și poveștile lor fascinante)Hackerii cu pălării albe față de hackerii cu pălării negre. Iată cei mai buni și mai faimoși hackeri din istorie și ce fac astăzi. Citeste mai mult . Când i s-a permis în sfârșit să utilizeze internetul, acesta a fost televizat pe pagina lui Leo Laporte Protecția ecranului.

În cele din urmă a mers legitim. Acum conduce propria firmă de consultanță în domeniul securității computerelor și a scris o serie de cărți despre inginerie socială și hacking. Poate cel mai bine apreciat este „Arta înșelăciunii”. Aceasta este, în esență, o antologie de nuvele care privesc cum pot fi atacate atacurile de inginerie socială și cum să protejează-te împotriva lor Cum să vă protejați împotriva atacurilor de inginerie socialăSăptămâna trecută am aruncat o privire la unele dintre principalele amenințări de inginerie socială pe care tu, compania dvs. sau angajații dvs. ar trebui să le aveți de grijă. Pe scurt, inginerie socială este similară cu ... Citeste mai mult , și este disponibil pentru achiziționare la Amazon.

Ce se poate face cu privire la frauda CEO?

Așadar, să recapitulăm Știm că frauda CEO este îngrozitoare. Știm că costă o mulțime de bani pentru companii. Știm că este foarte greu de atenuat, deoarece este un atac împotriva oamenilor, nu împotriva computerelor. Ultimul lucru rămas de acoperit este modul în care luptăm împotriva lui.

Acest lucru este mai ușor spus decât făcut. Dacă sunteți angajat și ați primit o solicitare suspectă de plată de la angajatorul sau șeful dvs., este posibil să doriți să vă conectați cu aceștia (folosind o metodă diferită de e-mail) pentru a vedea dacă este autentică. S-ar putea să fie un pic enervat de tine pentru că îi deranjează, dar probabil că vor fi Mai Mult enervat dacă ai sfârșit prin a trimite 100.000 de dolari din fondurile companiei într-un cont bancar străin.

Există și soluții tehnologice care pot fi utilizate. Microsoft viitoare actualizare la Office 365 va conține câteva protecții împotriva acestui tip de atac, verificând sursa fiecărui e-mail pentru a vedea dacă provine de la un contact de încredere. Microsoft consideră că au obținut o îmbunătățire de 500% a modului în care Office 365 identifică e-mailuri false sau falsificate.

Nu fi înțepat

Cel mai fiabil mod de a vă proteja împotriva acestor atacuri este să fiți sceptici. Ori de câte ori primiți un e-mail care vă cere să efectuați un transfer mare de bani, apelați-vă șeful pentru a vedea dacă este legitim. Dacă aveți vreo legătură cu departamentul IT, luați în considerare să le solicitați treceți la Office 365 O introducere în Office 365: Ar trebui să cumpărați în noul model de afaceri Office?Office 365 este un pachet bazat pe abonamente care oferă acces la cea mai recentă suită Office Office, Office Online, stocare în cloud și aplicații mobile premium. Ofera Office 365 o valoare suficienta pentru a merita banii? Citeste mai mult , care conduce pachetul atunci când vine vorba de combaterea CEO-ului Fraud.

Sper cu siguranță că nu, dar ați fost vreodată victima unei escrocherii prin e-mail motivate de bani? Dacă da, vreau să aud despre asta. Aruncați mai jos un comentariu și spuneți-mi ce s-a stins.

Credite foto: AnonDollar (Anonul tău), Miguel The Entertainment Entertainment (Jorge)