CEO-svig: Denne fidus får dig fyret og koster dine bosspenge

Reklame

E-mail er en almindelig angrebsvektor, der bruges af svindlere og computerkriminelle. Men hvis du troede, at det kun blev brugt til at sprede malware, phishing og Nigerianske forskud på gebyr Skjuler nigerianske e-mails med fidus en forfærdelig hemmelighed? [Mening]En anden dag, en anden spam e-mail falder ind i min indbakke, på en eller anden måde arbejder sig omkring Windows Live spamfilter, der gør et så godt stykke arbejde med at beskytte mine øjne mod alle de andre uopfordrede ... Læs mere , Tænk igen. Der er en ny e-mail-drevet fidus, hvor en angriber vil foregive at være din chef og få dig til at overføre tusindvis af dollars firmafonde til en bankkonto, de kontrollerer.

Det kaldes CEO Fraud, eller "Insider Spoofing".

Forstå angrebet

Så hvordan fungerer angrebet? For at en angriber med succes kan trække det ud, skal de vide en masse information om det firma, de målretter mod.

Meget af denne information handler om den hierarkiske struktur for det firma eller den institution, de målretter mod. De bliver nødt til at vide det

hvem de vil efterligne sig. Selvom denne type svindel er kendt som "CEO-svindel", er den i virkeligheden målrettet nogen som helst med en seniorrolle - enhver, der ville være i stand til at igangsætte betalinger. De bliver nødt til at kende deres navn og deres e-mail-adresse. Det ville også hjælpe med at kende deres tidsplan, og hvornår de skulle rejse eller på ferie.

Endelig skal de vide, hvem i organisationen der er i stand til at udstede pengeoverførsler, f.eks. En revisor eller en person, der er ansat i økonomiafdelingen.

Meget af denne information kan frit findes på det pågældende virksomheds websteder. Mange mellemstore virksomheder har "Om os" -sider, hvor de viser deres ansatte, deres roller og ansvar samt deres kontaktoplysninger.

Det kan være lidt sværere at finde nogens planer. Langt de fleste mennesker offentliggør ikke deres kalender online. Imidlertid reklamerer mange mennesker for deres bevægelser på sociale mediesider, som Twitter, Facebook og Sværm (tidligere Foursquare) Foursquare relancerer som opdagelsesværktøj baseret på dine smagFoursquare var banebrydende for den mobile indtjekning; en lokaliseringsbaseret statusopdatering, der fortalte verden nøjagtigt, hvor du var, og hvorfor - så er skiftet til et rent opdagelsesværktøj et skridt fremad? Læs mere . En angriberen behøver kun vente til de har forladt kontoret, og de kan strejke.

Jeg er på St George's Market - @ stgeorgesbt1 i Belfast, Co. Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17. januar 2016

Når angriberen har hvert stykke puslespil, han har brug for for at udføre angrebet, vil de derefter e-maile finansieringen medarbejder, der hævder at være administrerende direktør, og anmoder om, at de indleder en pengeoverførsel til en bankkonto, de styring.

For at det skal fungere, skal e-mailen se ægte ud. De bruger enten en e-mail-konto, der ser 'legitim' eller plausibel (f.eks [email protected]), eller skønt 'forfalskning' administrerende direktørs ægte e-mail. Det er her, der sendes en e-mail med ændrede overskrifter, så "Fra:" -feltet indeholder CEO's ægte e-mail. Nogle motiverede angribere vil forsøge at få administrerende direktør til at e-maile dem, så de kan duplikere stylingen og æstetikken i deres e-mail.

Angriberen håber, at finansmedarbejderen bliver presset til at igangsætte overførslen uden først at kontrollere med den målrettede direktør. Denne indsats lønner sig ofte, hvor nogle virksomheder ubetinget har udbetalt hundreder af tusinder af dollars. Et firma i Frankrig, som var profileret af BBC tabte 100.000 euro. Angriberne forsøgte at få 500.000, men alle undtagen en af ​​betalingerne blev blokeret af banken, der mistænkte for svig.

Hvordan sociale ingeniørangreb fungerer

Traditionelle computersikkerhedstrusler har en tendens til at være teknologiske. Som et resultat kan du anvende teknologiske foranstaltninger til at besejre disse angreb. Hvis du bliver inficeret med malware, kan du installere et antivirusprogram. Hvis nogen har prøvet at hacke din webserver, kan du leje nogen til at udføre en penetrationstest og rådgive dig om, hvordan du kan 'hærde' maskinen mod andre angreb.

Social engineering angreb Hvad er social teknik? [MakeUseOf Explains]Du kan installere branchens stærkeste og dyreste firewall. Du kan uddanne medarbejdere om grundlæggende sikkerhedsprocedurer og vigtigheden af ​​at vælge stærke adgangskoder. Du kan endda låse serverrummet - men hvordan ... Læs mere - som CEO-svig er et eksempel på - er meget sværere at afbøde mod, fordi de ikke angriber systemer eller hardware. De angriber folk. I stedet for at udnytte sårbarheder i kode drager de fordel af den menneskelige natur og vores instinktive biologiske imperativ til at stole på andre mennesker. En af de mest interessante forklaringer på dette angreb blev fremsat på DEFCON-konferencen i 2013.

Nogle af de mest kæbe-droppende dristige hacks var et produkt af social engineering.

I 2012 befandt den tidligere ledede journalist Mat Honan sig under angreb af en målbevidst cadre af cyberkriminelle, der var fast besluttet på at afvikle hans online liv. Ved at bruge taktik inden for socialteknologi var de i stand til at overbevise Amazon og Apple om at give dem den information, de havde brug for til fjerntørring hans MacBook Air og iPhone, slette hans e-mail-konto og beslaglægge hans indflydelsesrige Twitter-konto for at placere racemæssig og homofob skældsord. Du kan læse den nedkøle historie her.

Social engineering angreb er næppe en ny innovation. Hackere har brugt dem i årtier for at få adgang til systemer, bygninger og information i årtier. En af de mest berygtede sociale ingeniører er Kevin Mitnick, der i midten af ​​90'erne tilbragte år at skjule sig for politiet efter at have begået en række computerforbrydelser. Han blev fængslet i fem år og fik forbud mod at bruge en computer indtil 2003. Når hackere går, var Mitnick så tæt som du kunne komme til har rockstar status 10 af verdens mest berømte og bedste hackere (og deres fascinerende historier)White-hat-hackere mod black-hat-hackere. Her er de bedste og mest berømte hackere i historien, og hvad de laver i dag. Læs mere . Da han endelig fik lov til at bruge Internettet, blev det fjernsynet på Leo Laporte's Skærmbesparere.

Han blev til sidst legit. Han driver nu sit eget konsulentfirma for edb-sikkerhed og har skrevet en række bøger om social engineering og hacking. Den mest velkendte er måske ”Kunsten at bedrag”. Dette er i det væsentlige en antologi med noveller, der ser på, hvordan socialtekniske angreb kan trækkes ud, og hvordan man gør det beskyt dig selv mod dem Sådan beskytter du dig mod sociale tekniske angrebI sidste uge kiggede vi på nogle af de vigtigste socialtekniske trusler, som du, din virksomhed eller dine medarbejdere skulle være på udkig efter. Kort sagt, social engineering ligner en ... Læs mere , og kan købes hos Amazon.

Hvad kan der gøres ved CEO-svig?

Så lad os sammenfatte. Vi ved, at CEO fraud er forfærdeligt. Vi ved, at det koster mange virksomheder mange penge. Vi ved, at det er utroligt svært at afbøde imod, fordi det er et angreb mod mennesker, ikke mod computere. Den sidste ting, der er tilbage at dække, er, hvordan vi kæmper imod det.

Dette er lettere sagt end gjort. Hvis du er en medarbejder, og du har modtaget en mistænkelig betalingsanmodning fra din arbejdsgiver eller chef, kan du tjekke ind med dem (ved hjælp af en anden metode end e-mail) for at se, om det var ægte. De er måske lidt irriterede over dig for at genere dem, men det vil de sandsynligvis være mere irriteret, hvis du endte med at sende $ 100.000 af selskabsmidler til en udenlandsk bankkonto.

Der er teknologiske løsninger, der også kan bruges. Microsofts kommende opdatering til Office 365 vil indeholde nogle beskyttelser mod denne type angreb ved at kontrollere kilden til hver e-mail for at se, om den kom fra en betroet kontakt. Microsoft regner med, at de har opnået en forbedring på 500% i, hvordan Office 365 identificerer forfalskede eller forfalskede e-mails.

Bliv ikke stukket

Den mest pålidelige måde at beskytte mod disse angreb er at være skeptisk. Hver gang du får en e-mail, der beder dig om at foretage en stor pengeoverførsel, skal du ringe til din chef for at se, om det er legitimt. Hvis du har noget med IT-afdelingen, kan du overveje at bede dem om det Gå til Office 365 En introduktion til Office 365: Bør du købe ind i den nye Office-forretningsmodel?Office 365 er en abonnementsbaseret pakke, der giver adgang til den nyeste desktop Office-pakke, Office Online, cloud-opbevaring og premium-mobile apps. Tilvejebringer Office 365 tilstrækkelig værdi til at være værd at pengene? Læs mere , der fører pakken når det gælder bekæmpelse af CEO Fraud.

Jeg håber bestemt ikke, men har du nogensinde været offer for en penge-motiveret e-mail-svindel? I så fald vil jeg høre om det. Drop være en kommentar nedenfor, og fortæl mig hvad der gik ned.

Fotokreditter: AnonDollar (Din Anon), Miguel The Entertainment CEO (Jorge)