CEO Svindel Denne svindelen vil få deg sparken og koster din Boss Money
E-post er et vanlig angrep vektor som brukes av svindlere og datakriminelle. Men hvis du trodde at det bare var blitt brukt til å spre malware, phishing og nigerianske forskuddssvikt, svindler de nigerianske svindel-e-postene en forferdelig hemmelighet? [Opinion] Skal Nigerian Scam Emails Skjul En Forferdelig Hemmelighet? [Opinion] En annen dag, en annen spam e-post faller inn i innboksen min, noe som jobber seg rundt Windows Live spamfilteret som gjør en så god jobb med å beskytte mine øyne fra alle de andre uønskede ... Les mer, tenk igjen. Det er en ny e-postdrevet svindel der en angriper vil late som å være sjefen din, og får deg til å overføre tusenvis av dollar av selskapsmidler til en bankkonto de kontrollerer.
Det kalles CEO Svindel, eller “Insider Spoofing”.
Forstå angrepet
Så, hvordan virker angrepet? Vel, for en angriper å kunne trekke den av, må de vite mye informasjon om firmaet de målretter mot.
Mye av denne informasjonen handler om den hierarkiske strukturen til firmaet eller institusjonen de målretter mot. De trenger å vite hvem de vil være imitasjon. Selv om denne typen svindel er kjent som “CEO svindel”, i virkeligheten målrettes det hvem som helst med en eldre rolle - alle som ville kunne starte betalinger. De trenger å kjenne sitt navn, og deres e-postadresse. Det ville også hjelpe til med å kjenne deres tidsplan, og når de skulle reise, eller på ferie.
Til slutt må de vite hvem i organisasjonen er i stand til å utstede pengeoverføringer, for eksempel en regnskapsfører, eller noen i ansatt av finansavdelingen.
Mye av denne informasjonen kan finnes fritt på selskapets nettsider. Mange mellomstore bedrifter har “Om oss” sider, hvor de lister sine ansatte, deres roller og ansvar, og deres kontaktinformasjon.
Å finne en persons tidsplaner kan være litt vanskeligere. De aller fleste mennesker publiserer ikke kalenderen deres online. Imidlertid publiserer mange mennesker sine bevegelser på sosiale medier, som Twitter, Facebook og Swarm (tidligere Foursquare) Foursquare Relaunches som Discovery Tool basert på smaker Foursquare Relaunches som Discovery Tool basert på smaker Foursquare pionerer den mobile innsjekkingen; en stedbasert statusoppdatering som fortalte verden nøyaktig hvor du var og hvorfor - så er byttet til et rent oppdagelsesverktøy et skritt fremover? Les mer . En angriper trenger bare å vente til de har forlatt kontoret, og de kan streike.
Jeg er på St George's Market - @ stgeorgesbt1 i Belfast, Co. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17. januar 2016
Når angriperen har hvert eneste stykke av puslespillet, trenger han å gjennomføre angrepet, så vil de sende en e-post til finansansvarlig, som sier at han er konsernsjef, og be om at de initierer en pengeoverføring til en bankkonto de kontrollerer.
For at det skal virke, må e-posten se ekte ut. De vil enten bruke en e-postkonto som ser "legitim" eller trolig (for eksempel [email protected]), eller om "spoofing" konsernsjefens ekte e-post. Dette blir hvor en e-post sendes med endrede overskrifter, så “Fra:” feltet inneholder konsernsjefens ekte e-postadresse. Noen motiverte angripere vil forsøke å få konsernsjef til å sende e-post til dem, slik at de kan duplisere styling og estetikk av e-posten deres.
Angriperen vil håpe at økonomimedarbeider vil bli presset til å starte overføringen uten å sjekke først med den målrettede lederen. Denne innsatsen lønner seg ofte, med noen selskaper som ikke har betalt ut hundretusener av dollar. Ett selskap i Frankrike som ble profilert av BBC, tapte 100 000 euro. Angrepene prøvde å få 500.000, men alt annet enn en av betalingene ble blokkert av banken, som mistenkte svindel.
Hvordan sosialteknikk angrep fungerer
Tradisjonelle datasikkerhetstrusler har en tendens til å være teknologisk i naturen. Som et resultat kan du benytte teknologiske tiltak for å beseire disse angrepene. Hvis du blir smittet med skadelig programvare, kan du installere et antivirusprogram. Hvis noen har forsøkt å hacke din webserver, kan du ansette noen til å utføre en penetrasjonstest og gi deg råd om hvordan du kan "herde" maskinen mot andre angrep.
Sosialtekniske angrep Hva er sosialteknikk? [MakeUseOf Forklarer] Hva er samfunnsteknikk? [MakeUseOf Forklarer] Du kan installere bransjens sterkeste og dyreste brannmur. Du kan utdanne ansatte om grunnleggende sikkerhetsprosedyrer og viktigheten av å velge sterke passord. Du kan til og med låse ned serverrommet - men hvordan ... Les mer - hvorav CEO-svindel er et eksempel på - er mye vanskeligere å motvirke, fordi de ikke angriper systemer eller maskinvare. De angriper folk. I stedet for å utnytte sårbarheter i koden, utnytter de menneskelig natur, og vårt instinktive biologiske imperativ for å stole på andre mennesker. En av de mest interessante forklaringene på dette angrepet ble gjort på DEFCON-konferansen i 2013.
Noen av de mest jaw-droppingly hektiske hackene var et produkt av sosialteknikk.
I 2012 fant den tidligere wired journalisten Mat Honan seg under angrep av en bestemt kadre av cyberkriminelle, som var fast bestemt på å demontere sitt onlineliv. Ved å bruke sosialteknikk-taktikk kunne de overbevise Amazon og Apple om å gi dem den informasjonen de trengte for å fjerntørke MacBook Air og iPhone, slette sin e-postkonto og gripe sin innflytelsesrike Twitter-konto for å legge fram rase- og homofobiske epithets . Du kan lese chilling fortellingen her.
Sosialtekniske angrep er knapt en ny innovasjon. Hackere har brukt dem i flere tiår for å få tilgang til systemer, bygninger og informasjon i flere tiår. En av de mest beryktede sosialingeniører er Kevin Mitnick, som i midten av 90-tallet tilbrakte år skjuler seg fra politiet, etter å ha begått en rekke dataskriminalitet. Han ble fengslet i fem år, og var forbudt fra å bruke en datamaskin til 2003. Som hackere gikk, var Mitnick så nært som du kunne få til å ha rockstarstatus 10 av verdens mest berømte hackere (og hva som skjedde med dem) 10 av Verdens mest berømte hackere (og hva som skjedde med dem) Hvithatt hackere mot svarthatt hackere. Her er de mest berømte hackere i historien og hva de gjør i dag. Les mer . Da han endelig fikk lov til å bruke Internett, ble det fjernet på Leo Laporte Skjermspareren.
Han gikk til slutt legitim. Han driver nå sitt eget datakonsulentfirma, og har skrevet en rekke bøker om sosialteknikk og hacking. Kanskje den mest anerkjente er “Art of Deception”. Dette er egentlig en antologi av noveller som ser på hvordan sosialtekniske angrep kan trekkes av, og hvordan du kan beskytte deg mot dem. Slik beskytter du deg mot samfunnstekniske angrep. Slik beskytter du deg mot samfunnstekniske angrep I forrige uke tok vi en titt på Noen av de viktigste samfunnsmessige truslene som du, din bedrift eller dine ansatte burde se etter. I et nøtteskall, sosialteknologi ligner en ... Les mer, og er tilgjengelig for kjøp på Amazon.
Konfliktens kunst: Styring av det menneskelige sikkerhetselement Art of Deception: Styring av det menneskelige sikkerhetselementet Kjøp nå På Amazon $ 5,58
Hva kan gjøres om CEO Svindel?
Så, la oss samle. Vi vet at CEO Svindel er forferdelig. Vi vet at det koster mange selskaper mye penger. Vi vet at det er utrolig vanskelig å motvirke, fordi det er et angrep mot mennesker, ikke mot datamaskiner. Det siste som igjen er å dekke, er hvordan vi kjemper mot det.
Dette er lettere sagt enn gjort. Hvis du er en ansatt, og du har mottatt en mistenkelig betalingsanmodning fra arbeidsgiver eller sjef, vil du kanskje sjekke inn med dem (ved hjelp av en annen metode enn e-post) for å se om den var ekte. De kan være litt irritert med deg for å plage dem, men de vil nok være mer irritert hvis du endte opp med å sende 100 000 dollar av selskapets midler til en utenlandsk bankkonto.
Det er også teknologiske løsninger som kan brukes. Microsofts kommende oppdatering til Office 365 vil inneholde noen beskyttelser mot denne type angrep ved å sjekke kilden til hver e-post for å se om den kommer fra en klarert kontakt. Microsoft regner med at de har oppnådd en 500% forbedring av hvordan Office 365 identifiserer forfalsket eller forfalsket e-post.
Ikke bli stungt
Den mest pålitelige måten å beskytte mot disse angrepene er å være skeptisk. Når du får en e-post som ber deg om å gjøre en stor pengeoverføring, ring opp sjefen din for å se om det er legitimt. Hvis du har noen sving med IT-avdelingen, bør du vurdere å be dem om å flytte til Office 365 En introduksjon til Office 365: Skal du kjøpe inn i New Office Business Model? En introduksjon til Office 365: Skal du kjøpe inn i New Office Business Model? Office 365 er en abonnementsbasert pakke som gir tilgang til den nyeste skrivebords Office Suite, Office Online, Cloud Storage og premium mobile apps. Gir Office 365 nok verdi til å være verdt pengene? Les mer, som leder spissen når det gjelder å bekjempe CEO Svindel.
Jeg håper absolutt ikke, men har du noen gang vært offer for en pengeremotivert e-post svindel? I så fall vil jeg høre om det. Slip en kommentar nedenfor, og fortell meg hva som gikk ned.
Photo Credits: AnonDollar (Din Anon), Miguel The Entertainment CEO (Jorge)
Utforsk mer om: Online Svindel, Online Security, Svindel.