Condividere:
CEO Fraud Questa truffa ti farà licenziare e costare i soldi del tuo capo
L'e-mail è un vettore di attacco comune utilizzato da truffatori e criminali informatici. Ma se pensavate che fosse usato solo per diffondere malware, phishing e truffe a tariffa nigeriana, Nigerian Scam Emails nasconde un segreto terribile? [Opinione] Le email della truffa nigeriana nascondono un segreto terribile? [Opinione] Un altro giorno, un'altra email di spam cade nella mia casella di posta, in qualche modo aggirando il filtro antispam di Windows Live che fa un così buon lavoro di protezione dei miei occhi da tutti gli altri non richiesti ... Per saperne di più, ripensaci. C'è una nuova truffa basata su email in cui un utente malintenzionato fingerà di essere il tuo capo e ti porterà a trasferire migliaia di dollari di fondi aziendali in un conto bancario che controllano.
Si chiama CEO Fraud, o “Insider spoofing”.
Capire l'attacco
Quindi, come funziona l'attacco? Bene, perché un attaccante possa farlo con successo, devono conoscere molte informazioni sulla compagnia a cui si rivolgono.
Molte di queste informazioni riguardano la struttura gerarchica della società o dell'istituzione a cui si rivolgono. Dovranno saperlo chi si stanno impersonando. Anche se questo tipo di truffa è noto come “Frode del CEO”, in realtà si rivolge chiunque con un ruolo di alto livello - chiunque sia in grado di avviare pagamenti. Avranno bisogno di sapere il loro nome e il loro indirizzo email. Aiuterebbe anche a conoscere il loro programma e quando sarebbero in viaggio o in vacanza.
Infine, hanno bisogno di sapere chi nell'organizzazione è in grado di emettere trasferimenti di denaro, come un contabile o qualcuno al servizio del reparto finanziario.
Molte di queste informazioni possono essere trovate liberamente sui siti Web della società in questione. Molte aziende di dimensioni medio-piccole hanno “Riguardo a noi” pagine, dove elencano i loro dipendenti, i loro ruoli e responsabilità e le loro informazioni di contatto.
Trovare gli orari di qualcuno può essere un po 'più difficile. La stragrande maggioranza delle persone non pubblica il proprio calendario online. Tuttavia, molte persone pubblicizzano i loro movimenti sui siti di social media, come Twitter, Facebook e Swarm (precedentemente Foursquare) Foursquare si rilancia come strumento di scoperta basato sui vostri gusti Foursquare si rilancia come strumento di scoperta basato sui vostri gusti Foursquare ha aperto la strada al check-in mobile; un aggiornamento di stato basato sulla posizione che ha detto al mondo esattamente dove ti trovavi e perché - così il passaggio a un puro strumento di scoperta è un passo avanti? Leggi di più . Un utente malintenzionato dovrebbe solo aspettare finché non ha lasciato l'ufficio e può colpire.
Sono al St George's Market - @ stgeorgesbt1 a Belfast, Co. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster), 17 gennaio 2016
Una volta che l'attaccante ha ogni pezzo del puzzle di cui ha bisogno per condurre l'attacco, invierà un'e-mail al dipendente della finanza, che pretende di essere l'amministratore delegato, e chiedendo di avviare un trasferimento di denaro su un conto bancario che controllano.
Perché funzioni, l'email deve apparire genuina. Utilizzeranno un account e-mail che sembra "legittimo" o plausibile (ad esempio [email protected]), o "spoofing" della vera email del CEO. Questo sarà dove viene inviata un'e-mail con intestazioni modificate, quindi “A partire dal:” il campo contiene l'email autentica del CEO. Alcuni aggressori motivati tenteranno di convincere il CEO a inviarli tramite e-mail, in modo che possano duplicare gli stili e l'estetica della loro e-mail.
L'attaccante spera che il dipendente finanziario venga sottoposto a pressioni per avviare il trasferimento senza prima verificare con l'esecutivo designato. Questa scommessa spesso paga, con alcune aziende che hanno pagato incautamente centinaia di migliaia di dollari. Una società in Francia che è stata profilata dalla BBC ha perso 100.000 euro. Gli aggressori hanno cercato di ottenere 500.000, ma tutti tranne uno dei pagamenti sono stati bloccati dalla banca, che sospettava di frode.
Come agisce l'ingegneria sociale
Le minacce alla sicurezza informatica tradizionale tendono ad essere di natura tecnologica. Di conseguenza, puoi utilizzare misure tecnologiche per sconfiggere questi attacchi. Se si viene infettati da malware, è possibile installare un programma antivirus. Se qualcuno sta provando a hackerare il tuo server web, puoi assumere qualcuno per eseguire un test di penetrazione e consigliarti su come puoi "indurire" la macchina contro altri attacchi.
Attacchi di ingegneria sociale Che cos'è l'ingegneria sociale? [MakeUseOf Explains] Cos'è l'ingegneria sociale? [MakeUseOf Explains] È possibile installare il firewall più potente e costoso del settore. Puoi educare i dipendenti sulle procedure di sicurezza di base e sull'importanza di scegliere password sicure. È anche possibile bloccare la stanza del server, ma in che modo ... Per saperne di più - di cui la frode del CEO è un esempio - sono molto più difficili da mitigare, perché non stanno attaccando sistemi o hardware. Stanno attaccando le persone. Piuttosto che sfruttare le vulnerabilità nel codice, sfruttano la natura umana e il nostro imperativo istintivo biologico di fidarsi delle altre persone. Una delle spiegazioni più interessanti di questo attacco è stata fatta alla conferenza DEFCON del 2013.
Alcuni degli hack più audaci e audaci erano un prodotto dell'ingegneria sociale.
Nel 2012, il giornalista ex-Wired Mat Honan si è trovato sotto l'attacco di un determinato gruppo di cyber-criminali, che erano determinati a smantellare la sua vita online. Utilizzando tattiche di social engineering, sono stati in grado di convincere Amazon e Apple a fornire loro le informazioni di cui avevano bisogno per cancellare da remoto il MacBook Air e l'iPhone, eliminare il suo account e-mail e impossessarsi del suo influente account Twitter per pubblicare epiteti razziali e omofobici . Puoi leggere il racconto agghiacciante qui.
Gli attacchi di social engineering non sono certo una novità. Gli hacker li usano da decenni per accedere a sistemi, edifici e informazioni per decenni. Uno dei più famosi ingegneri sociali è Kevin Mitnick, che a metà degli anni '90 ha passato anni a nascondersi dalla polizia, dopo aver commesso una serie di crimini informatici. È stato incarcerato per cinque anni e gli è stato proibito l'uso di un computer fino al 2003. Con gli hacker, Mitnick è stato il più vicino possibile ad avere lo status di rockstar 10 dei più famosi hacker del mondo (e What Happened to The) 10 dei Gli hacker più famosi del mondo (e che cosa è successo a loro) Gli hacker white-hat contro gli hacker black-hat. Ecco gli hacker più famosi della storia e cosa stanno facendo oggi. Leggi di più . Quando finalmente gli è stato permesso di usare Internet, è stato trasmesso su Leo Laporte Gli screen saver.
Alla fine è diventato legittimo. Attualmente dirige la sua società di consulenza sulla sicurezza informatica e ha scritto numerosi libri sull'ingegneria sociale e l'hacking. Forse il più apprezzato è “L'arte dell'inganno”. Questa è essenzialmente un'antologia di racconti che guardano come gli attacchi di ingegneria sociale possono essere tirati fuori, e come proteggersi contro di loro Come proteggersi dagli attacchi di ingegneria sociale Come proteggersi dagli attacchi di ingegneria sociale La settimana scorsa abbiamo dato un'occhiata a alcune delle principali minacce di ingegneria sociale che voi, la vostra azienda o i vostri dipendenti dovreste cercare. In poche parole, l'ingegneria sociale è simile a un ... Leggi di più, ed è disponibile per l'acquisto su Amazon.
L'arte dell'inganno: controllare l'elemento umano della sicurezza L'arte dell'inganno: controllare l'elemento umano della sicurezza Acquista ora su Amazon $ 5,58
Che cosa si può fare su CEO Fraud?
Quindi, ricapitoliamo. Sappiamo che CEO Fraud è orribile. Sappiamo che costa un sacco di aziende un sacco di soldi. Sappiamo che è incredibilmente difficile da mitigare, perché è un attacco contro gli umani, non contro i computer. L'ultima cosa che rimane da trattare è come combattiamo contro di essa.
Questo è più facile a dirsi che a farsi. Se sei un dipendente e hai ricevuto una richiesta di pagamento sospetta dal tuo datore di lavoro o dal tuo capo, potresti voler controllare con loro (utilizzando un metodo diverso dall'email) per verificare se fosse autentico. Potrebbero essere un po 'infastiditi da te per averli infastiditi, ma probabilmente lo saranno Di Più infastidito se hai finito per inviare $ 100.000 di fondi aziendali a un conto bancario estero.
Esistono anche soluzioni tecnologiche che possono essere utilizzate. L'imminente aggiornamento di Microsoft su Office 365 conterrà alcune protezioni contro questo tipo di attacco, controllando l'origine di ciascuna e-mail per vedere se proviene da un contatto fidato. Microsoft ritiene di aver ottenuto un miglioramento del 500% nel modo in cui Office 365 identifica le e-mail contraffatte o contraffatte.
Non essere punto
Il modo più affidabile per proteggersi da questi attacchi è essere scettici. Ogni volta che ricevi un'email che ti chiede di effettuare un trasferimento di denaro, chiama il tuo capo per vedere se è legittimo. Se si ha qualche influenza con il reparto IT, si consiglia di chiedere loro di passare a Office 365 Un'introduzione a Office 365: si dovrebbe acquistare nel modello di business New Office? Un'introduzione a Office 365: dovresti acquistare nel nuovo modello aziendale di Office? Office 365 è un pacchetto basato su abbonamento che offre accesso alle più recenti suite per desktop, Office Online, cloud storage e app mobili premium. Office 365 fornisce un valore sufficiente per valerne la pena? Per saperne di più, che sta guidando il pacchetto quando si tratta di combattere la frode del CEO.
Certamente spero di no, ma sei mai stato vittima di una truffa via email motivata dal denaro? Se è così, voglio sentirne parlare. Lascia un commento qui sotto e dimmi cosa è andato giù.
Crediti fotografici: AnonDollar (Your Anon), Miguel The Entertainment CEO (Jorge)
Scopri di più su: frodi online, sicurezza online, truffe.