VD Bedrägeri Denna bluff kommer att få dig att sparka och kosta din chef pengar
E-post är en vanlig attack vektor som används av bedrägerier och datorbrottslingar. Men om du trodde att det bara användes för att sprida skadlig kod, phishing och nigeriansk förskottsavgift, skyller Nigerian Scam Emails Dölj en hemsk hemlighet? [Yttrande] Döljer Nigerian Scam Emails en hemsk hemlighet? [Yttrande] En annan dag, en annan spam e-post faller i min inkorg, på något sätt arbetar sig runt Windows Live-spamfilteret som gör ett så bra jobb att skydda mina ögon från alla andra oönskade ... Läs mer, tänk igen. Det finns en ny e-postdriven bluff där en angripare låtsas vara din chef och får dig att överföra tusentals dollar av företagsfonder till ett bankkonto de kontrollerar.
Det kallas VD: s bedrägeri, eller “Insider Spoofing”.
Förstå attacken
Så hur fungerar attacken? Nåväl, för att en angripare framgångsrikt kan dra av den, behöver de veta mycket om det företag de riktar in.
Mycket av denna information handlar om den hierarkiska strukturen hos företaget eller institutionen de riktar in sig mot. De måste veta vem de kommer att förlikla sig. Även om denna typ av bluff är känd som “VD bedrägeri”, i verkligheten riktar den sig till någon med en äldre roll - någon som skulle kunna initiera betalningar. De måste känna till deras namn och deras e-postadress. Det skulle också hjälpa till att känna till sitt schema, och när de skulle resa, eller på semester.
Slutligen behöver de veta vem i organisationen kan utfärda penningöverföringar, till exempel en revisor eller någon anställd av finansavdelningen.
Mycket av denna information kan hittas fritt på företagets hemsidor. Många små och medelstora företag har “Om oss” sidor där de listar sina anställda, deras roller och ansvar och deras kontaktuppgifter.
Att hitta någons scheman kan vara lite svårare. De allra flesta människor publicerar inte sin kalender online. Men många människor publicerar sina rörelser på sociala medier, som Twitter, Facebook och Swarm (tidigare Foursquare) Foursquare Relaunches som Discovery Tool baserat på dina smaker Foursquare Relaunches som Discovery Tool baserat på dina smaker Foursquare pioneered den mobila incheckningen; en platsbaserad statusuppdatering som berättade för världen exakt var du var och varför - så är bytet till ett rent upptäcktsverktyg ett steg framåt? Läs mer . En angripare behöver bara vänta tills de har lämnat kontoret, och de kan slå till.
Jag är på St George's Market - @ stgeorgesbt1 i Belfast, Co. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17 januari 2016
När angriparen har varje bit av pusslet behöver han anlita attacken, då skickar de till ekonomimedarbetaren, som påstås vara VD, och begär att de initierar en överföring till ett bankkonto som de kontrollerar.
För att det ska fungera måste e-posten se äkta ut. De använder antingen ett e-postkonto som ser "legitimt" eller troligt ut (till exempel [email protected]) eller om "spoofing" VD: s äkta email. Det här kommer att vara där ett mail skickas med ändrade rubriker, så “Från:” fältet innehåller VD: s äkta email. Vissa motiverade angripare kommer att försöka få VD för att maila dem, så att de kan duplicera stylingar och estetik i deras email.
Anfallaren kommer att hoppas att finansmedarbetaren kommer att pressas för att initiera överföringen utan att först kontrollera med den riktade verkställande direktören. Denna satsning lönar sig ofta, med vissa företag som har outnyttjat betalat hundratusentals dollar. Ett företag i Frankrike som profilerades av BBC förlorade 100 000 euro. Anfallarna försökte få 500 000, men allt utom en av betalningarna var blockerad av banken, som misstänkte bedrägeri.
Hur socialteknik attackerar arbete
Traditionella datorsäkerhetshotar tenderar att vara tekniskt naturliga. Som ett resultat kan du använda tekniska åtgärder för att besegra dessa attacker. Om du blir smittad med skadlig kod kan du installera ett antivirusprogram. Om någon har försökt hacka din webbserver kan du anlita någon för att genomföra ett penetrationstest och ge dig råd om hur du kan "härda" maskinen mot andra attacker.
Socialteknikattacker Vad är socialteknik? [MakeUseOf Förklarar] Vad är socialteknik? [MakeUseOf Explains] Du kan installera branschens starkaste och dyraste brandvägg. Du kan utbilda anställda om grundläggande säkerhetsprocedurer och vikten av att välja starka lösenord. Du kan till och med låsa ner serverns rummet - men hur ... Läs mer - varav VD-bedrägerier är ett exempel på - är mycket svårare att mildra, eftersom de inte attackerar system eller hårdvara. De attackerar människor. Istället för att utnyttja sårbarheter i kod utnyttjar de mänsklig natur och vårt instinktiva biologiska imperativ att lita på andra människor. En av de mest intressanta förklaringarna av denna attack gjordes på DEFCON-konferensen 2013.
Några av de mest jaw-droppingly audacious hackarna var en produkt av social engineering.
År 2012 befann sig tidigare journalist Mat Honan under attack av en bestämd cadre av cyberkriminella, som var fast beslutna att avveckla sitt online liv. Genom att använda socialteknik taktik kunde de övertyga Amazon och Apple för att ge dem den information som de behövde för att fjärrtorka MacBook Air och iPhone, ta bort sitt e-postkonto och gripa sitt inflytelserika Twitter-konto för att lägga fram ras- och homofobiska epiteter . Du kan läsa den chillande historien här.
Socialteknikattacker är knappast en ny innovation. Hackare har använt dem i årtionden för att få tillgång till system, byggnader och information i årtionden. En av de mest ökända socialingenjörerna är Kevin Mitnick, som i mitten av 90-talet tillbringade år gömmer sig från polisen efter att ha begått en rad datortrafik. Han fängslades i fem år och förbjöds att använda en dator fram till 2003. Som hackare gick, var Mitnick så nära som du kunde få till rockstarstatus 10 av världens mest kända hackare (och vad som hände med dem) 10 av Världens mest berömda hackare (och vad som hände med dem) Vithatthackare mot svarthatthackare. Här är de mest kända hackare i historien och vad de gör idag. Läs mer . När han äntligen fick använda Internet, var det tv på Leo Laporte Skärmsläckare.
Han gick så småningom legit. Han driver nu sitt eget datakonsultföretag, och har skrivit ett antal böcker om socialteknik och hacking. Kanske är den mest välrenommerade “Deceptionens konst”. Det här är i huvudsak en antologi av noveller som tittar på hur socialtekniska attacker kan dras av och hur man skyddar sig mot dem. Hur man skyddar sig mot socialteknikattacker. Hur man skyddar sig mot socialteknikattacker. I förra veckan tittade vi på några av de största sociala ingenjörshoten som du, ditt företag eller dina medarbetare ska leta efter. I ett nötskal ligner socialteknik en ... Läs mer, och finns att köpa på Amazon.
Bedrägeriets konst: Kontroll av människans säkerhetselement Art of Deception: Kontroll av det mänskliga säkerhetselementet Köp nu På Amazon $ 5,58
Vad kan göras om CEO Bedrägeri?
Så, låt oss sammanfatta. Vi vet att CEO Bedrägeri är hemskt. Vi vet att det kostar många företag mycket pengar. Vi vet att det är otroligt svårt att mildra, för det är en attack mot människor, inte mot datorer. Det sista som finns kvar är hur vi kämpar mot det.
Detta är lättare sagt än gjort. Om du är en anställd och du har fått en misstänkt betalningsförfrågan från din arbetsgivare eller chef, kanske du vill checka in med dem (med hjälp av en annan metod än e-post) för att se om det var äkta. De kan vara lite irriterad för dig för att störa dem, men de kommer troligen att vara Mer irriterad om du slutade skicka 100 000 dollar av företagsfonder till ett utländskt bankkonto.
Det finns också tekniska lösningar som kan användas. Microsofts kommande uppdatering till Office 365 innehåller vissa skydd mot denna typ av attack genom att kontrollera källan till varje e-post för att se om det kommer från en betrodd kontakt. Microsoft anser att de har uppnått en förbättring på 500% av hur Office 365 identifierar förfalskade eller spoofed e-postmeddelanden.
Stryk inte
Det mest tillförlitliga sättet att skydda mot dessa attacker är att vara skeptisk. När du får ett email som ber dig göra en stor överföring av pengar, ring upp din chef för att se om det är legit. Om du har någon sväng med IT-avdelningen, överväg att fråga dem att flytta till Office 365 En introduktion till Office 365: Ska du köpa in i New Office Business Model? En introduktion till Office 365: Ska du köpa in i New Office Business Model? Office 365 är ett abonnemangsbaserat paket som ger tillgång till den senaste skrivbordet Office Suite, Office Online, Cloud Storage och premium mobilappar. Ger Office 365 tillräckligt med värde för att vara värt pengarna? Läs mer, som leder packen när det gäller att bekämpa VD: s bedrägeri.
Jag hoppas verkligen inte, men har du någonsin blivit offer för en pengarmotiverad email-bluff? Om så är fallet vill jag höra om det. Släpp en kommentar nedan och berätta vad som gick ner.
Fotokrediter: AnonDollar (Din Anon), Miguel The Entertainment CEO (Jorge)
Utforska mer om: Online Bedrägeri, Online Säkerhet, Bedrägerier.