Forside Sikkerhed CEO-svig Denne fidus får dig fyret og koster dine chefpenge

CEO-svig Denne fidus får dig fyret og koster dine chefpenge

  • Peter Holmes
  • 0
  • 2592
  • 274
Reklame

E-mail er en almindelig angrebsvektor, der bruges af svindlere og computerkriminelle. Men hvis du troede, at det kun blev brugt til at sprede malware, phishing og nigerianske forskud på gebyr for forskudsgebyr Skjuler den nigerianske fidus e-mails en frygtelig hemmelighed? [Opinion] Skjuler nigerianske e-mails med fidus om en frygtelig hemmelighed? [Opinion] En anden dag falder en anden spam-e-mail ind i min indbakke og på en eller anden måde arbejder sig omkring Windows Live-spamfilteret, der gør et så godt stykke arbejde med at beskytte mine øjne mod alle de andre uopfordrede…, tænk igen. Der er en ny e-mail-drevet svindel, hvor en angriber vil foregive at være din chef, og får dig til at overføre tusindvis af dollars firmafonde til en bankkonto, de kontrollerer.

Det kaldes CEO Fraud, eller “Insider Spoofing”.

Forstå angrebet

Så hvordan fungerer angrebet? For at en angriber med succes kan trække den ud, er de nødt til at kende en masse information om det firma, de målretter mod.

Meget af denne information handler om den hierarkiske struktur for det firma eller den institution, de er målrettet mod. De bliver nødt til at vide det hvem de vil efterligne sig. Selvom denne type svindel er kendt som “CEO-svig”, i virkeligheden er det mål nogen som helst med en seniorrolle - alle, der ville være i stand til at igangsætte betalinger. De bliver nødt til at kende deres navn og deres e-mail-adresse. Det ville også hjælpe med at kende deres tidsplan, og hvornår de skulle rejse eller på ferie.

Endelig skal de vide, hvem i organisationen der er i stand til at udstede pengeoverførsler, f.eks. En revisor eller en person, der er ansat i finansafdelingen.

Meget af denne information kan frit findes på webstederne for det pågældende firma. Mange mellemstore og små virksomheder har “Om os” sider, hvor de viser deres ansatte, deres roller og ansvar og deres kontaktoplysninger.

Det kan være lidt sværere at finde en persons tidsplaner. Langt de fleste mennesker offentliggør ikke deres kalender online. Imidlertid reklamerer mange mennesker for deres bevægelser på sociale mediewebsteder, som Twitter, Facebook og Swarm (tidligere Foursquare) Foursquare-relanceringer som opdagelsesværktøj baseret på dine smag Foursquare-relanceringer, da opdagelsesværktøj baseret på dine smag Foursquare var banebrydende for den mobile indtjekning; en lokaliseringsbaseret statusopdatering, der fortalte verden nøjagtigt, hvor du var, og hvorfor - så er skiftet til et rent opdagelsesværktøj et skridt fremad? . En angriberen behøver kun vente til de har forladt kontoret, og de kan strejke.

Jeg er på St George's Market - @ stgeorgesbt1 i Belfast, Co. Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17. januar 2016

Når angriberen har hvert stykke af det puslespil, han har brug for for at udføre angrebet, vil de derefter e-maile finansieringsmedarbejderen, påstås at være administrerende direktør, og bede om, at de indleder en pengeoverførsel til en bankkonto, de kontrollerer.

For at det skal fungere, skal e-mailen se ægte ud. De bruger enten en e-mail-konto, der ser 'legitim' eller plausibel ud (f.eks [email protected]), eller skønt 'forfalskning' administrerende direktørs ægte e-mail. Det er her, der sendes en e-mail med ændrede overskrifter, så “Fra:” feltet indeholder CEO's ægte e-mail. Nogle motiverede angribere vil forsøge at få administrerende direktør til at e-maile dem, så de kan duplikere stylingen og æstetikken i deres e-mail.

Angriberen håber, at finansmedarbejderen bliver presset til at igangsætte overførslen uden først at kontrollere med den målrettede direktør. Denne indsats lønner sig ofte, når nogle virksomheder ubetinget har udbetalt hundreder af tusinder af dollars. Et firma i Frankrig, som blev profileret af BBC, mistede 100.000 euro. Angriberne forsøgte at få 500.000, men alle undtagen en af ​​betalingerne blev blokeret af banken, der mistænkte for svig.

Hvordan sociale ingeniørangreb fungerer

Traditionelle computersikkerhedstrusler har en tendens til at være teknologiske. Som et resultat kan du anvende teknologiske foranstaltninger til at besejre disse angreb. Hvis du bliver inficeret med malware, kan du installere et antivirusprogram. Hvis nogen har prøvet at hacke din webserver, kan du leje nogen til at udføre en penetrationstest og rådgive dig om, hvordan du kan 'hærde' maskinen mod andre angreb.

Social engineering angreb Hvad er social engineering? [MakeUseOf Explains] Hvad er social engineering? [MakeUseOf Explains] Du kan installere branchens stærkeste og dyreste firewall. Du kan uddanne medarbejdere om grundlæggende sikkerhedsprocedurer og vigtigheden af ​​at vælge stærke adgangskoder. Du kan endda låse serverrummet - men hvordan ... - som CEO-svig er et eksempel på - er meget sværere at afbøde imod, fordi de ikke angriber systemer eller hardware. De angriber folk. I stedet for at udnytte sårbarheder i kode drager de fordel af den menneskelige natur og vores instinktive biologiske imperativ til at stole på andre mennesker. En af de mest interessante forklaringer på dette angreb blev fremsat på DEFCON-konferencen i 2013.

Nogle af de mest kæbe-droppende dristige hacks var et produkt af social engineering.

I 2012 befandt den tidligere ledede journalist Mat Honan sig under angreb af en målbevidst cadre af cyberkriminelle, der var fast besluttet på at afvikle hans online liv. Ved at bruge social engineering-taktikker var de i stand til at overbevise Amazon og Apple om at give dem de oplysninger, de havde brug for, for at fjerne hans MacBook Air og iPhone fjernt, slette hans e-mail-konto og beslaglægge hans indflydelsesrige Twitter-konto for at placere racemæssige og homofobe epitter. . Du kan læse den nedkøle historie her.

Social engineering angreb er næppe en ny innovation. Hackere har brugt dem i årtier for at få adgang til systemer, bygninger og information i årtier. En af de mest berygtede sociale ingeniører er Kevin Mitnick, der i midten af ​​90'erne tilbragte år at skjule sig for politiet efter at have begået en række computerforbrydelser. Han blev fængslet i fem år og blev forbudt at bruge en computer indtil 2003. Efterhånden som hackere går, var Mitnick så tæt som du kunne komme til at have rockstar-status 10 af verdens mest berømte og bedste hackere (og deres fascinerende historier) 10 af verdens mest berømte og bedste hackere (og deres fascinerende historier) White-hat-hackere mod black-hat-hackere. Her er de bedste og mest berømte hackere i historien, og hvad de laver i dag. . Da han endelig fik lov til at bruge Internettet, blev det fjernsynet på Leo Laporte's Skærmbesparere.

Han blev til sidst legit. Han driver nu sit eget konsulentfirma for computersikkerhed og har skrevet en række bøger om social engineering og hacking. Det er måske det mest velkendte “Kunsten at bedrag”. Dette er i det væsentlige en antologi med noveller, der ser på, hvordan socialtekniske angreb kan trækkes ud, og hvordan man beskytter dig selv mod dem. Sådan beskytter du dig mod sociale ingeniørangreb Sådan beskytter du dig mod socialtekniske angreb Sidste uge kiggede vi på nogle af de vigtigste trusler mod social ingeniør, som du, din virksomhed eller dine medarbejdere skal være på udkig efter. Kort sagt, social engineering ligner en ... og kan købes hos Amazon.

Hvad kan gøres ved CEO-svig??

Så lad os sammenfatte. Vi ved, at CEO Fraud er forfærdeligt. Vi ved, at det koster mange virksomheder mange penge. Vi ved, at det er utroligt svært at afbøde imod, fordi det er et angreb mod mennesker, ikke mod computere. Den sidste ting, der er tilbage at dække, er, hvordan vi kæmper imod det.

Dette er lettere sagt end gjort. Hvis du er en medarbejder, og du har modtaget en mistænkelig betalingsanmodning fra din arbejdsgiver eller chef, kan du tjekke ind med dem (ved hjælp af en anden metode end e-mail) for at se, om det var ægte. De er måske lidt irriterede over dig for at genere dem, men det vil de sandsynligvis være mere irriteret, hvis du endte med at sende $ 100.000 af selskabsmidler til en udenlandsk bankkonto.

Der er teknologiske løsninger, der også kan bruges. Microsofts kommende opdatering til Office 365 vil indeholde nogle beskyttelser mod denne type angreb ved at kontrollere kilden til hver e-mail for at se, om den kom fra en betroet kontakt. Microsoft regner med, at de har opnået en forbedring på 500% i, hvordan Office 365 identificerer forfalskede eller forfalskede e-mails.

Bliv ikke stukket

Den mest pålidelige måde at beskytte mod disse angreb er at være skeptisk. Hver gang du får en e-mail, der beder dig om at foretage en stor pengeoverførsel, skal du ringe til din chef for at se, om det er legitimt. Hvis du har noget med IT-afdelingen, kan du overveje at bede dem om at flytte til Office 365 En introduktion til Office 365: Bør du købe ind i den nye Office-forretningsmodel? En introduktion til Office 365: Bør du købe ind i den nye Office-forretningsmodel? Office 365 er en abonnementsbaseret pakke, der giver adgang til den nyeste desktop Office-pakke, Office Online, skylagring og premium mobile apps. Tilvejebringer Office 365 tilstrækkelig værdi til at være værd at pengene? , der fører pakken, når det kommer til at bekæmpe CEO Fraud.

Jeg håber bestemt ikke, men har du nogensinde været offer for en penge-motiveret e-mail-svindel? I så fald vil jeg høre om det. Drop være en kommentar nedenfor, og fortæl mig hvad der gik ned.

Fotokreditter: AnonDollar (Din Anon), Miguel The Entertainment CEO (Jorge)




Endnu ingen kommentarer

Facebook hjælper dig med at hjælpe andre under en krise
Tekniske nyheder
Du kan nu prøve den nye Creative Commons-søgemaskine
Tekniske nyheder
Twitter Skjuler nu tweets af lav kvalitet fra visningen
Tekniske nyheder
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.