Acțiune:
CEO fraudă Această înșelătorie vă va concedia și va costa banii dvs. de seful
E-mailul este un vector comun de atac folosit de infractori și criminali de calculator. Dar dacă v-ați gândit că a fost folosit doar pentru a răspândi malware, phishing și nigerian înșelătorie taxa de avans Nu Nigerian e-mailuri înșelătorie Ascunde un secret teribil? [Opinie] E-mailurile înșelătoare din Nigeria ascund un secret teribil? [Opinie] Încă o zi, un alt e-mail de spam scade în căsuța de e-mail, funcționând într-un fel în jurul filtrului de spam Windows Live care face o treabă atât de bună de a-mi proteja ochii de ceilalți nesolicitate ... Citește mai mult, gândește-te din nou. Există o nouă înșelătorie prin e-mail unde un atacator se va preface a fi șeful tău și te va transfera mii de dolari din fondurile companiei într-un cont bancar pe care îl controlează.
Se numește Frauda CEO, sau “Insider Spoofing”.
Înțelegerea atacului
Deci, cum funcționează atacul? Ei bine, pentru ca un atacator să-l tragă cu succes, trebuie să știe multe informații despre compania pe care o vizează.
O mare parte din aceste informații se referă la structura ierarhică a companiei sau a instituției pe care o vizează. Vor trebui să știe care se vor impersona. Deși acest tip de înșelătorie este cunoscut sub numele de “CEO fraudă”, în realitate, țintește oricine cu un rol principal - oricine ar fi capabil să inițieze plăți. Vor avea nevoie să știe numele lor și adresa lor de e-mail. De asemenea, i-ar ajuta să știe programul lor și când vor călători sau în vacanță.
În cele din urmă, trebuie să știe cine este în organizație capabil să emită transferuri de bani, cum ar fi un contabil sau cineva angajat în departamentul financiar.
O mare parte din aceste informații pot fi găsite în mod liber pe site-urile web ale societății în cauză. Multe companii de dimensiuni medii și mici au “Despre noi” pagini, unde își enumeră angajații, rolurile și responsabilitățile acestora și informațiile de contact ale acestora.
Găsirea programelor cuiva poate fi un pic mai greu. Marea majoritate a oamenilor nu-și publică calendarul online. Cu toate acestea, mulți oameni nu își fac publice mișcările pe site-urile de social media, cum ar fi Twitter, Facebook și Swarm (fosta Foursquare) Foursquare Relaunches Ca instrument de descoperire bazat pe gusturile dvs. Foursquare relaunches ca instrument de descoperire bazat pe gusturile dvs. Foursquare pionierat de check-in mobil; o actualizare de stare bazată pe locație, care a spus lumii exact unde ați fost și de ce - astfel încât trecerea la un instrument de descoperire pură este un pas înainte? Citeste mai mult . Un atacator ar trebui doar să aștepte până când au părăsit biroul și pot să lovească.
Sunt la St George's Market - @ stgeorgesbt1 în Belfast, Co Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17 ianuarie 2016
Odată ce atacatorul are fiecare piesă a puzzle-ului, are nevoie să efectueze atacul, apoi îi va trimite e-mailului angajatul financiar, pretind a fi CEO, și va cere să inițieze un transfer de bani într-un cont bancar pe care îl controlează.
Pentru ca aceasta să funcționeze, e-mailul trebuie să arate autentic. Ei vor folosi fie un cont de e-mail care pare "legitim" sau plauzibil (De exemplu [email protected]) sau, deși "spoofing" e-mail-ul real al CEO-ului. Acesta va fi locul în care un e-mail este trimis cu anteturi modificate, astfel încât “Din:” câmpul conține adresa de e-mail a CEO-ului. Unii atacatori motivați vor încerca să obțină CEO-ul să-i trimită prin e-mail, astfel încât să poată duplica stilurile și estetica e-mailului lor.
Atacantul va spera că angajatul financiar va fi presat să inițieze transferul fără a verifica mai întâi directorul vizat. Acest pariu se plătește adesea, unele companii plătindu-le fără sute de sute de mii de dolari. O companie din Franța, care a fost profilate de BBC, a pierdut 100.000 de euro. Atacatorii au încercat să obțină 500 000 de euro, dar numai una dintre plăți a fost blocată de bancă, care a suspectat fraudă.
Cum funcționează atacurile de inginerie socială
Printre amenințările tradiționale legate de securitatea calculatoarelor se numără tehnologia. Ca rezultat, puteți utiliza măsuri tehnologice pentru a învinge aceste atacuri. Dacă sunteți infectat cu programe malware, puteți instala un program antivirus. Dacă cineva a încercat să vă hărțuiască serverul web, puteți angaja pe cineva să efectueze un test de penetrare și vă va sfătui cu privire la modul în care puteți "împietri" mașina împotriva altor atacuri.
Atacurile sociale de inginerie Ce este ingineria socială? [Explicarea MakeUseOf] Ce este ingineria socială? [Explicațiile MakeUseOf] Puteți instala cea mai puternică și cea mai scumpă firewall din industrie. Puteți educa angajații despre procedurile de securitate de bază și importanța alegerii parolelor puternice. Puteți chiar să blocați camera serverului - dar cum ... Citește mai mult - dintre care frauda CEO-ului este un exemplu de - sunt mult mai greu de atenuat, deoarece nu atacă sisteme sau hardware. Ei atacă oamenii. În loc să exploateze vulnerabilitățile în cod, ei profită de natura umană și de imperativul nostru biologic instinctiv să aibă încredere în alte persoane. Una dintre cele mai interesante explicații ale acestui atac a fost făcută la conferința DEFCON în 2013.
Unele dintre hack-urile cele mai îndrăznețe ale oamenilor erau un produs al ingineriei sociale.
În 2012, jurnalistul Mat Honan, fostul Wired, a fost atacat de un cadre determinat de infractori cibernetici, care erau hotărâți să-i desființeze viața online. Utilizând tactici de inginerie socială, au reușit să-i convingă pe Amazon și pe Apple să le ofere informațiile necesare pentru a-și șterge de la distanță MacBook Air și iPhone, să-și șteargă contul de e-mail și să profite de contul său Twitter influent pentru a posta epitete rasiale și homofobe . Puteți citi povestea de răcire aici.
Atacurile de inginerie socială nu reprezintă o inovație nouă. Hackerii le folosesc de zeci de ani pentru a avea acces la sisteme, clădiri și informații de zeci de ani. Unul dintre cei mai cunoscuți ingineri sociali este Kevin Mitnick, care la mijlocul anilor '90 a petrecut ani de zile ascunzându-se de poliție, după ce a comis o serie de crime informatice. El a fost închis timp de cinci ani și i sa interzis să folosească un calculator până în anul 2003. Pe măsură ce hackerii merg, Mitnick era la fel de aproape de cât ai putut avea statutul de rockstar 10 din cei mai renumiți hackeri ai lumii (și ce sa întâmplat cu ei) Cei mai renumiți hackeri din lume (și ce sa întâmplat cu ei) hackeri cu pălăria albă împotriva hackerilor de pălării negre. Aici sunt cei mai cunoscuți hackeri din istorie și ceea ce fac astăzi. Citeste mai mult . Când i sa permis în cele din urmă să folosească Internetul, a fost difuzat pe televizoarele lui Leo Laporte Screen Savers.
În cele din urmă a devenit legit. Acum își conduce propria firmă de consultanță în domeniul securității calculatoarelor și a scris o serie de cărți despre ingineria socială și hacking-ul. Poate că este cel mai bine considerat “Arta de a înșela”. Aceasta este în esență o antologie a povestirilor scurte care văd cum pot fi trase atacurile de inginerie socială și cum să vă protejați împotriva lor Cum să vă protejați împotriva atacurilor de inginerie socială Cum să vă protejați împotriva atacurilor de inginerie socială Săptămâna trecută am aruncat o privire la unele dintre principalele amenințări de inginerie socială pe care dvs., compania dvs. sau angajații dumneavoastră ar trebui să le căutați. Pe scurt, ingineria socială este similară unei ... Citește mai mult și este disponibilă pentru cumpărare de la Amazon.
Arta decepției: Controlul elementului uman de securitate Arta decepției: Controlul elementului uman de securitate Cumpara acum la Amazon $ 5.58
Ce se poate întâmpla în legătură cu fraudarea CEO-ului?
Deci, să recapitulăm. Știm că frauda CEO este îngrozitoare. Știm că costă o mulțime de companii o mulțime de bani. Știm că este incredibil de greu de atenuat, pentru că este un atac împotriva oamenilor, nu împotriva calculatoarelor. Ultimul lucru pe care trebuie să-l acoperi este modul în care luptăm împotriva lui.
Acest lucru este mai ușor de zis decât de făcut. Dacă sunteți angajat și ați primit o cerere de plată suspectă din partea angajatorului sau a șefului dvs., vă recomandăm să faceți check-in cu aceștia (folosind o altă metodă decât cea de e-mail) pentru a vedea dacă este autentică. S-ar putea să fie puțin supărați de tine pentru că te-ai deranjat, dar probabil vor fi Mai Mult deranjat dacă ați ajuns să trimiteți 100.000 de dolari din fondurile companiei către un cont bancar străin.
Există și soluții tehnologice care pot fi folosite. Actualizarea viitoare a Microsoft Office 365 va conține unele protecții împotriva acestui tip de atac, verificând sursa fiecărui e-mail pentru a vedea dacă a provenit de la un contact de încredere. Microsoft consideră că au obținut o îmbunătățire de 500% în ceea ce privește modul în care Office 365 identifică e-mailurile contrafăcute sau falsificate.
Nu fi lovit
Cea mai fiabilă modalitate de a proteja împotriva acestor atacuri este să fii sceptic. De fiecare dată când primiți un e-mail care vă solicită să efectuați un transfer mare de bani, adresați-vă șeful pentru a vedea dacă este legitim. Dacă aveți vreo influență asupra departamentului IT, luați în considerare să le cereți să se deplaseze la Office 365 Introducere în Office 365: Ar trebui să cumpărați în noul model de afaceri al biroului? O introducere în Office 365: ar trebui să cumpărați în noul model de business Office? Office 365 este un pachet bazat pe abonament, care oferă acces la cea mai recentă suită de desktop Office, Office Online, spațiu de stocare în cloud și aplicații mobile premium. Are Office 365 o valoare suficientă pentru a merita banii? Citiți mai multe, care conduce pachetul atunci când vine vorba de lupta împotriva fraudei CEO-ului.
Sper că nu, dar ați fost vreodată victima unei înșelăciuni prin e-mail motivată de bani? Dacă da, vreau să aud despre asta. Aruncati un comentariu de mai jos si spuneti-mi ce sa intamplat.
Credite foto: AnonDollar (Anonul tău), Miguel The Entertainment CEO (Jorge)
Explorați mai multe despre: frauda online, securitate online, înșelătorii.