CEO Frode: questa truffa ti farà licenziare e costa al tuo capo denaro

Annuncio pubblicitario

La posta elettronica è un vettore di attacco comune utilizzato da truffatori e criminali informatici. Ma se pensavi che fosse usato solo per diffondere malware, phishing e Truffe anticipate nigeriane Le e-mail di truffa nigeriane nascondono un segreto terribile? [Opinione]Un altro giorno, un'altra e-mail spam arriva nella mia casella di posta, in qualche modo aggirando il filtro antispam di Windows Live che fa un ottimo lavoro nel proteggere i miei occhi da tutti gli altri non richiesti ... Leggi di più , pensa di nuovo. C'è una nuova truffa basata su e-mail in cui un utente malintenzionato fingerà di essere il tuo capo e ti consentirà di trasferire migliaia di dollari di fondi aziendali su un conto bancario che controllano.

Si chiama CEO Fraud o "Insider Spoofing".

Capire l'attacco

Quindi, come funziona l'attacco? Bene, affinché un utente malintenzionato riesca a risolverlo con successo, devono conoscere molte informazioni sull'azienda che stanno prendendo di mira.

Molte di queste informazioni riguardano la struttura gerarchica della società o istituzione a cui si rivolgono. Dovranno saperlo

Oms saranno impersonali. Anche se questo tipo di truffa è noto come "frode CEO", in realtà prende di mira chiunque con un ruolo senior - chiunque sarebbe in grado di avviare pagamenti. Dovranno conoscere il loro nome e il loro indirizzo email. Aiuterebbe anche a conoscere il loro programma e quando sarebbero stati in viaggio o in vacanza.

Infine, hanno bisogno di sapere chi nell'organizzazione è in grado di emettere trasferimenti di denaro, come un commercialista o qualcuno che lavora presso il dipartimento finanziario.

Molte di queste informazioni possono essere trovate liberamente sui siti Web dell'azienda in questione. Molte aziende di medie e piccole dimensioni hanno pagine "Chi siamo", in cui elencano i loro dipendenti, i loro ruoli e responsabilità e le loro informazioni di contatto.

Trovare i programmi di qualcuno può essere un po 'più difficile. La stragrande maggioranza delle persone non pubblicizza il proprio calendario online. Tuttavia, molte persone pubblicizzano i loro movimenti su siti di social media, come Twitter, Facebook e Swarm (precedentemente Foursquare) Foursquare rilancia come strumento di scoperta basato sui tuoi gustiFoursquare è stato il pioniere del check-in mobile; un aggiornamento dello stato basato sulla posizione che ha detto al mondo esattamente dove eri e perché - quindi il passaggio a uno strumento di scoperta puro è un passo avanti? Leggi di più . Un aggressore dovrebbe solo aspettare fino a quando non ha lasciato l'ufficio e può colpire.

Sono al St George's Market - @ stgeorgesbt1 a Belfast, Co. Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17 gennaio 2016

Una volta che l'attaccante ha ogni pezzo del puzzle di cui ha bisogno per condurre l'attacco, invierà via e-mail la finanza dipendente, pretendendo di essere l'amministratore delegato e chiedendo loro di avviare un trasferimento di denaro su un conto bancario controllo.

Perché funzioni, l'e-mail deve apparire autentica. Utilizzeranno un account email che sembra "legittimo" o plausibile (ad esempio [email protected]), o anche se "falsificano" l'email autentica del CEO. Qui verrà inviata un'e-mail con intestazioni modificate, quindi il campo "Da:" contiene l'e-mail autentica del CEO. Alcuni aggressori motivati ​​cercheranno di convincere il CEO a inviarli via e-mail, in modo da poter duplicare lo stile e l'estetica della loro e-mail.

L'aggressore spera che l'impiegato finanziario sia sottoposto a pressioni per avviare il trasferimento senza prima verificare con l'esecutivo designato. Questa scommessa spesso ripaga, con alcune aziende che hanno pagato ingiustamente centinaia di migliaia di dollari. Una società in Francia che era profilato dalla BBC perso 100.000 euro. Gli aggressori hanno cercato di ottenere 500.000, ma tutti i pagamenti tranne uno sono stati bloccati dalla banca, che sospettava una frode.

Come funzionano gli attacchi di ingegneria sociale

Le minacce tradizionali alla sicurezza informatica tendono ad essere tecnologiche. Di conseguenza, è possibile utilizzare misure tecnologiche per sconfiggere questi attacchi. Se si viene infettati da malware, è possibile installare un programma antivirus. Se qualcuno ha cercato di hackerare il tuo server web, puoi assumere qualcuno per eseguire un test di penetrazione e consigliarti su come "indurire" la macchina contro altri attacchi.

Attacchi di ingegneria sociale Che cos'è l'ingegneria sociale? [MakeUseOf Explains]Puoi installare il firewall più potente e costoso del settore. È possibile istruire i dipendenti sulle procedure di sicurezza di base e sull'importanza di scegliere password complesse. Puoi persino bloccare la sala server, ma come ... Leggi di più - di cui la frode da CEO è un esempio - sono molto più difficili da mitigare, perché non attaccano sistemi o hardware. Stanno attaccando le persone. Invece di sfruttare le vulnerabilità nel codice, sfruttano la natura umana e il nostro istintivo imperativo biologico per fidarsi delle altre persone. Una delle spiegazioni più interessanti di questo attacco è stata fatta alla conferenza DEFCON nel 2013.

Alcuni degli hack più sorprendentemente audaci erano un prodotto dell'ingegneria sociale.

Nel 2012, l'ex giornalista Wired Mat Honan si è trovato attaccato da un determinato gruppo di criminali informatici, determinati a smantellare la sua vita online. Utilizzando le tattiche di ingegneria sociale, sono stati in grado di convincere Amazon e Apple a fornire loro le informazioni di cui avevano bisogno per cancellare da remoto il suo MacBook Air e iPhone, elimina il suo account e-mail e si impadronisce del suo influente account Twitter per pubblicare razziali e omofobi epiteti. tu posso leggere la storia da brividi qui.

Gli attacchi di ingegneria sociale non sono certo una nuova innovazione. Gli hacker li usano da decenni al fine di ottenere l'accesso a sistemi, edifici e informazioni da decenni. Uno dei più noti ingegneri sociali è Kevin Mitnick, che a metà degli anni '90 ha trascorso anni a nascondersi dalla polizia, dopo aver commesso una serie di crimini informatici. Fu imprigionato per cinque anni e gli fu proibito di usare un computer fino al 2003. Mentre gli hacker vanno, Mitnick era il più vicino possibile con stato rockstar 10 dei più famosi e migliori hacker del mondo (e le loro storie affascinanti)Hacker del cappello bianco contro hacker del cappello nero. Ecco i migliori e più famosi hacker della storia e cosa stanno facendo oggi. Leggi di più . Quando finalmente gli è stato permesso di usare Internet, è stato trasmesso su Leo Laporte Gli screen saver.

Alla fine è diventato legittimo. Ora gestisce la propria società di consulenza sulla sicurezza informatica e ha scritto numerosi libri sull'ingegneria sociale e l'hacking. Forse il più apprezzato è "L'arte dell'inganno". Questa è essenzialmente un'antologia di racconti che osservano come gli attacchi di ingegneria sociale possono essere fatti e come proteggiti da loro Come proteggersi dagli attacchi di ingegneria socialeLa scorsa settimana abbiamo esaminato alcune delle principali minacce di ingegneria sociale che voi, la vostra azienda o i vostri dipendenti dovreste cercare. In poche parole, il social engineering è simile a un ... Leggi di più ed è disponibile per l'acquisto su Amazon.

Cosa si può fare per la frode del CEO?

Quindi, ricapitoliamo. Sappiamo che la frode del CEO è terribile. Sappiamo che costa un sacco di aziende un sacco di soldi. Sappiamo che è incredibilmente difficile mitigare, perché è un attacco contro gli umani, non contro i computer. L'ultima cosa rimasta da affrontare è il modo in cui combattiamo contro di essa.

Questo è più facile a dirsi che a farsi. Se sei un dipendente e hai ricevuto una richiesta di pagamento sospetta dal tuo datore di lavoro o capo, potresti voler verificare con loro (utilizzando un metodo diverso dall'email) per vedere se era autentico. Potrebbero essere un po 'seccati con te per averli disturbati, ma probabilmente lo saranno Di Più infastidito se hai finito per inviare $ 100.000 di fondi aziendali a un conto bancario estero.

Esistono anche soluzioni tecnologiche che possono essere utilizzate. Microsoft prossimo aggiornamento di Office 365 conterrà alcune protezioni contro questo tipo di attacco, controllando la fonte di ogni email per vedere se proviene da un contatto fidato. Microsoft ritiene di aver ottenuto un miglioramento del 500% nel modo in cui Office 365 identifica le email contraffatte o contraffatte.

Non essere punto

Il modo più affidabile per proteggersi da questi attacchi è essere scettici. Ogni volta che ricevi un'email che ti chiede di effettuare un grande trasferimento di denaro, chiama il tuo capo per vedere se è legittimo. Se hai qualche influenza con il dipartimento IT, considera di chiederglielo passare a Office 365 Un'introduzione a Office 365: acquistare nel nuovo modello di business di Office?Office 365 è un pacchetto basato su abbonamento che offre l'accesso alla più recente suite Office desktop, Office Online, archiviazione cloud e app mobili premium. Office 365 offre un valore sufficiente per valere la pena? Leggi di più , che sta guidando il gruppo quando si tratta di combattere la frode del CEO.

Spero certamente di no, ma sei mai stato vittima di una truffa via email motivata dal denaro? In tal caso, ne voglio sapere. Lascia un commento qui sotto e dimmi cosa è successo.

Crediti fotografici: AnonDollar (Your Anon), Miguel The Entertainment CEO (Jorge)