Мошенничество с генеральным директором: эта афера вас уволят и будет стоить боссам денег

Реклама

Электронная почта - распространенный вектор атаки, используемый мошенниками и компьютерными преступниками. Но если вы думаете, что он используется только для распространения вредоносных программ, фишинга и Мошенничество с предоплатой Нигерийские мошеннические письма скрывают ужасную тайну? [Мнение]Однажды, еще одно спам-письмо попадает в мой почтовый ящик, как-то обходя спам-фильтр Windows Live, который так хорошо защищает мои глаза от других нежелательных сообщений ... Прочитайте больше подумай еще раз. Существует новое мошенничество по электронной почте, в котором злоумышленник будет притворяться вашим начальником и заставит вас перевести тысячи долларов средств компании на банковский счет, который они контролируют.

Это называется мошенничеством генерального директора или «спуфинг инсайдеров».

Понимание атаки

Итак, как работает атака? Что ж, чтобы злоумышленник успешно справился с задачей, ему нужно знать много информации о компании, на которую он нацелен.

Большая часть этой информации касается иерархической структуры компании или учреждения, на которое они ориентированы. Они должны знать

ВОЗ они будут подражать. Хотя этот тип мошенничества известен как «мошенничество генеральных директоров», на самом деле он нацелен кто-нибудь со старшей ролью - любой, кто сможет инициировать платежи. Им нужно знать свое имя и адрес электронной почты. Это также поможет узнать их расписание, и когда они будут путешествовать или в отпуске.

Наконец, им нужно знать, кто в организации может выпустить денежные переводы, например, бухгалтер или кто-то из сотрудников финансового отдела.

Большая часть этой информации может быть свободно найдена на веб-сайтах рассматриваемой компании. Многие компании среднего и малого размера имеют страницы «О нас», где они перечисляют своих сотрудников, их роли и обязанности, а также их контактную информацию.

Найти чье-то расписание может быть немного сложнее. Подавляющее большинство людей не публикует свой календарь в Интернете. Тем не менее, многие люди публикуют свои движения в социальных сетях, таких как Twitter, Facebook и Рой (ранее Foursquare) Foursquare перезапускается как инструмент Discovery, основанный на ваших вкусахFoursquare впервые начал мобильную регистрацию; обновление статуса на основе местоположения, которое сообщило миру, где именно вы были и почему - так что переход на чистый инструмент обнаружения - шаг вперед? Прочитайте больше . Злоумышленнику нужно только подождать, пока они покинут офис, и они смогут нанести удар.

Я на рынке Святого Георгия - @ stgeorgesbt1 в Белфасте, Ко Антрим https://t.co/JehKXuBJsc

- Эндрю Болстер (@Bolster) 17 января 2016 г.

Как только злоумышленник получит все кусочки головоломки, которые ему нужны для проведения атаки, он отправит финансовое письмо по электронной почте. сотрудника, заявляющего, что он является генеральным директором, и требующего, чтобы они инициировали перевод денег на банковский счет, который они контроль.

Чтобы это работало, электронная почта должна выглядеть подлинно. Они будут использовать учетную запись электронной почты, которая выглядит «законной» или правдоподобной (например, [email protected]) или хотя и «подделывает» подлинную электронную почту генерального директора. Это будет то место, где электронное письмо отправляется с измененными заголовками, поэтому в поле «От:» содержится подлинная электронная почта руководителя. Некоторые мотивированные злоумышленники попытаются заставить генерального директора отправить им электронное письмо, чтобы они могли продублировать стили и эстетику своей электронной почты.

Злоумышленник будет надеяться, что на финансового сотрудника будет оказано давление с просьбой инициировать перевод без предварительной проверки с целевым руководителем. Эта ставка часто окупается, так как некоторые компании невольно выплачивают сотни тысяч долларов. Одна компания во Франции, которая была представленный BBC потерял 100 000 евро. Злоумышленники пытались получить 500 000, но все платежи, кроме одного, были заблокированы банком, который подозревал мошенничество.

Как работает социальная инженерия

Традиционные угрозы компьютерной безопасности, как правило, носят технологический характер. В результате вы можете использовать технологические меры для победы над этими атаками. Если вы заражены вредоносным ПО, вы можете установить антивирусную программу. Если кто-то пытается взломать ваш веб-сервер, вы можете нанять кого-нибудь для проведения теста на проникновение и посоветовать вам, как можно «защитить» машину от других атак.

Атаки социальной инженерии Что такое социальная инженерия? [MakeUseOf Объясняет]Вы можете установить самый сильный и самый дорогой межсетевой экран в отрасли. Вы можете обучить сотрудников основным процедурам безопасности и важности выбора надежных паролей. Вы даже можете заблокировать серверную комнату - но как ... Прочитайте больше - из которых пример мошенничества со стороны генерального директора - гораздо труднее смягчить, потому что они не атакуют системы или оборудование. Они нападают на людей. Вместо того чтобы использовать уязвимости в коде, они используют человеческую природу и наш инстинктивный биологический императив доверять другим людям. Одно из самых интересных объяснений этой атаки было сделано на конференции DEFCON в 2013 году.

Некоторые из самых невероятно дерзких хаков были продуктом социальной инженерии.

В 2012 году бывший журналист Wired Мэт Хонан оказался под угрозой со стороны решительных кадров киберпреступников, которые были полны решимости ликвидировать его онлайн-жизнь. Используя тактику социальной инженерии, они смогли убедить Amazon и Apple предоставить им информацию, необходимую для удаленной очистки его MacBook Air и iPhone, удалите его учетную запись электронной почты и захватите его влиятельную учетную запись Twitter, чтобы публиковать сообщения о расовой и гомофобии эпитеты. Вы можете прочитать леденящую сказку здесь.

Атаки социальной инженерии вряд ли являются новой инновацией. Хакеры использовали их на протяжении десятилетий, чтобы получить доступ к системам, зданиям и информации на протяжении десятилетий. Одним из самых известных социальных инженеров является Кевин Митник, который в середине 90-х провел годы, скрываясь от полиции, после совершения ряда компьютерных преступлений. Он был заключен в тюрьму на пять лет, и до 2003 года ему было запрещено пользоваться компьютером. Как и хакеры, Митник был как можно ближе к имеющий статус рок-звезды 10 самых известных и лучших хакеров в мире (и их увлекательные истории)Хакеры в белой шляпе против хакеров в черной шляпе. Вот лучшие и самые известные хакеры в истории и что они делают сегодня. Прочитайте больше . Когда ему наконец разрешили пользоваться Интернетом, его показывали по телевидению о Лео Лапорте. Хранители экрана.

В конце концов он стал законным. Сейчас он руководит собственной консалтинговой фирмой по компьютерной безопасности и написал несколько книг о социальной инженерии и взломе. Пожалуй, самым уважаемым является «Искусство обмана». По сути, это антология коротких рассказов о том, как можно проводить атаки социальной инженерии, и как защититься от них Как защитить себя от атак социальной инженерииНа прошлой неделе мы рассмотрели некоторые из основных угроз социальной инженерии, которые вы, ваша компания или ваши сотрудники должны учитывать. В двух словах, социальная инженерия похожа на ... Прочитайте больше и доступен для покупки на Amazon.

Что можно сделать с мошенничеством генерального директора?

Итак, подведем итоги. Мы знаем, что мошенничество генерального директора ужасно. Мы знаем, что для многих компаний это стоит больших денег. Мы знаем, что противостоять невероятно трудно, потому что это атака на людей, а не на компьютеры. Последнее, что осталось осветить, - это как с этим бороться.

Это легче сказать, чем сделать. Если вы являетесь сотрудником и получили от вашего работодателя или начальника подозрительное требование о платеже, вы можете проверить их (используя метод, отличный от электронной почты), чтобы убедиться в его подлинности. Они могут быть немного раздражены из-за того, что вы беспокоите их, но они, вероятно, будут Больше раздражает, если вы в конечном итоге отправили $ 100 000 средств компании на счет в иностранном банке.

Есть технологические решения, которые тоже можно использовать. от Microsoft грядущее обновление до Office 365 будет содержать некоторые средства защиты от атак такого типа, проверяя источник каждого электронного письма, чтобы узнать, пришло ли оно от доверенного контакта. Microsoft считает, что они достигли 500% улучшения в том, как Office 365 идентифицирует поддельные или поддельные электронные письма.

Не быть ужаленным

Самый надежный способ защиты от этих атак - быть скептиком. Всякий раз, когда вы получаете электронное письмо с просьбой сделать крупный денежный перевод, позвоните своему боссу, чтобы узнать, законно ли это. Если у вас есть влияние на ИТ-отдел, попробуйте переехать в Office 365 Введение в Office 365: стоит ли покупать новую бизнес-модель Office?Office 365 - это пакет на основе подписки, который предлагает доступ к новейшему настольному пакету Office, Office Online, облачному хранилищу и мобильным приложениям премиум-класса. Обеспечивает ли Office 365 достаточную стоимость, чтобы стоить денег? Прочитайте больше , которая является лидером в борьбе с мошенничеством генерального директора.

Я, конечно, надеюсь, что нет, но вы когда-нибудь были жертвой мошенничества по электронной почте? Если так, я хочу услышать об этом. Оставьте комментарий ниже, и скажите мне, что произошло.

Фото Кредиты: АнонДоллар (Твой Анон), Мигель The Entertainment CEO (Хорхе)