VD-bedrägeri: Denna bedrägeri får dig avskedad och kostar dina chefspengar

Annons

E-post är en vanlig attackvektor som används av bedrägerier och datorbrottslingar. Men om du trodde att det bara användes för att sprida skadlig programvara, phishing och Nigerianska förskott för förskottsavgift Gömmer nigerianska e-postmeddelanden om bedrägerier en hemsk hemlighet? [Åsikt]En annan dag släpper ytterligare ett skräppost in i min inkorg, på något sätt arbetar sig runt Windows Live spamfilter som gör ett så bra jobb med att skydda mina ögon från alla andra oönskade ... Läs mer , Tänk om. Det finns en ny e-postdrierad bedrägeri där en angripare låtsas vara din chef och får dig att överföra tusentals dollar företagsmedel till ett bankkonto de kontrollerar.

Det kallas CEO Fraud, eller "Insider Spoofing".

Förstå attacken

Så, hur fungerar attacken? Tja, för att en angripare lyckas dra ut den måste de veta mycket information om företaget de riktar sig till.

Mycket av denna information handlar om den hierarkiska strukturen för företaget eller institutionen de riktar sig till. De måste veta

vem de kommer att efterge sig. Även om denna typ av bedrägeri kallas ”VD-bedrägeri” riktar den sig i själva verket någon med en högre roll - vem som helst som skulle kunna initiera betalningar. De måste veta sitt namn och deras e-postadress. Det skulle också hjälpa till att känna till deras schema och när de ska resa eller på semester.

Slutligen måste de veta vem i organisationen som kan utfärda pengaröverföringar, till exempel en revisor eller någon som är anställd på finansavdelningen.

Mycket av denna information finns fritt på företagets webbplatser. Många medelstora och små företag har "Om oss" -sidor, där de listar sina anställda, deras roller och ansvar och deras kontaktinformation.

Att hitta någons scheman kan vara lite svårare. De allra flesta människor publicerar inte sin kalender online. Men många publicerar sina rörelser på webbplatser för sociala medier, som Twitter, Facebook och Svärm (tidigare Foursquare) Foursquare startar om som upptäcktsverktyg baserat på dina smakerFoursquare var banbrytande för den mobila incheckningen; en platsbaserad statusuppdatering som berättade världen exakt var du var och varför - så är övergången till ett rent upptäcktsverktyg ett steg framåt? Läs mer . En angripare skulle bara behöva vänta tills de har lämnat kontoret och de kan slå.

Jag är på St George's Market - @ stgeorgesbt1 i Belfast, Co. Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17 januari 2016

När angriparen har alla pusselbitar som han behöver för att utföra attacken, skickar de e-post till ekonomin anställd, som anses vara VD och begära att de initierar en överföring av pengar till ett bankkonto de kontrollera.

För att det ska fungera måste e-postmedlet se äkta ut. De kommer antingen att använda ett e-postkonto som ser "legitimt" eller troligt ut (till exempel [email protected]), eller om "förfalskning" verkställande direktörens äkta e-postadress. Det är här som ett e-postmeddelande skickas med modifierade rubriker, så "Från:" -fältet innehåller verkställande direktörens äkta e-post. Vissa motiverade angripare kommer att försöka få verkställande direktören att skicka e-post till dem, så att de kan kopiera styling och estetik i deras e-post.

Angriparen hoppas att finansanställden kommer att pressas att initiera överföringen utan att först kontrollera med den riktade verkställande direktören. Denna satsning lönar sig ofta, med vissa företag som ofrivilligt har betalat ut hundratusentals dollar. Ett företag i Frankrike som var profilerad av BBC tappade 100 000 euro. Angriparna försökte få 500 000, men alla utom en av betalningarna blockerades av banken, som misstänkte bedrägeri.

Hur socialtekniska attacker fungerar

Traditionella datasäkerhetshot tenderar att ha teknisk karaktär. Som ett resultat kan du använda tekniska åtgärder för att besegra dessa attacker. Om du smittas av skadlig programvara kan du installera ett antivirusprogram. Om någon har försökt hacka din webbserver kan du anställa någon för att genomföra ett penetrationstest och ge dig råd om hur du kan "härda" maskinen mot andra attacker.

Social engineering attacker Vad är socialteknik? [MakeUseOf Explains]Du kan installera branschens starkaste och dyraste brandvägg. Du kan utbilda anställda om grundläggande säkerhetsrutiner och vikten av att välja starka lösenord. Du kan till och med låsa ner serverrummet - men hur ... Läs mer - som VD-bedrägeri är ett exempel på - är mycket svårare att mildra mot, eftersom de inte attackerar system eller hårdvara. De attackerar människor. I stället för att utnyttja sårbarheter i kod drar de fördel av den mänskliga naturen och vårt instinktiva biologiska krav för att lita på andra människor. En av de mest intressanta förklaringarna till denna attack gjordes på DEFCON-konferensen 2013.

Några av de mest käftstappande audmjuka hackarna var en produkt av socialteknik.

År 2012 befann sig den tidigare trådbundna journalisten Mat Honan bli attackerad av en bestämd cadre av cyberbrottslingar, som var fast beslutna att avveckla hans onlineliv. Genom att använda socialteknik kunde de övertyga Amazon och Apple att ge dem den information de behövde för att torka bort hans MacBook Air och iPhone, ta bort hans e-postkonto och ta tag i sitt inflytelserika Twitter-konto för att publicera ras och homofob epitet. Du kan läsa den kyliga berättelsen här.

Sociala attacker är knappast en ny innovation. Hackare har använt dem i decennier för att få tillgång till system, byggnader och information i årtionden. En av de mest ökända sociala ingenjörerna är Kevin Mitnick, som i mitten av 90-talet tillbringade år gömd sig för polisen, efter att ha begått en rad datorbrott. Han fängslades i fem år och förbjöds att använda en dator fram till 2003. När hackarna går var Mitnick så nära du kunde komma till med rockstar-status 10 av världens mest kända och bästa hackare (och deras fascinerande berättelser)Hackare med vit hatt kontra hackare med svart hatt. Här är de bästa och mest kända hackarna i historien och vad de gör idag. Läs mer . När han äntligen fick använda Internet sändes det på Leo Laporte Skärmsläckarna.

Han blev så småningom legitim. Han driver nu sitt eget konsultföretag för datorsäkerhet och har skrivit ett antal böcker om socialteknik och hacking. Den kanske mest betraktade är "The Art of Deception". Detta är i huvudsak en antologi med noveller som tittar på hur sociala tekniska attacker kan dras av och hur man gör det skydda dig mot dem Hur du skyddar dig mot sociala tekniska attackerFörra veckan tittade vi på några av de viktigaste socialtekniska hot som du, ditt företag eller dina anställda borde leta efter. Sammanfattningsvis liknar socialteknik en ... Läs mer , och finns att köpa på Amazon.

Vad kan göras om VD-bedrägeri?

Så låt oss sammanfatta. Vi vet att VD-bedrägeri är hemskt. Vi vet att det kostar många företag mycket pengar. Vi vet att det är oerhört svårt att mildra mot, eftersom det är en attack mot människor, inte mot datorer. Det sista som finns kvar är hur vi kämpar mot det.

Detta är lättare sagt än gjort. Om du är anställd och du har fått en misstänkt betalningsbegäran från din arbetsgivare eller chef, kanske du vill checka in med dem (med en annan metod än e-post) för att se om det var äkta. De kan vara lite irriterade av dig för att bry dig om dem, men de kommer förmodligen att vara det Mer irriterad om du hamnade med att skicka $ 100 000 företagsmedel till ett utländskt bankkonto.

Det finns tekniska lösningar som också kan användas. Microsofts kommande uppdatering till Office 365 kommer att innehålla några skydd mot denna typ av attack genom att kontrollera källan till varje e-post för att se om det kom från en betrodd kontakt. Microsoft räknar med att de har uppnått en 500% förbättring av hur Office 365 identifierar förfalskade eller förfalskade e-postmeddelanden.

Bli inte stingad

Det mest pålitliga sättet att skydda mot dessa attacker är att vara skeptisk. När du får ett e-postmeddelande som ber dig göra en stor pengaröverföring, ring din chef för att se om det är legitimt. Om du har någon sväng med IT-avdelningen, överväg att be dem göra det flytta till Office 365 En introduktion till Office 365: Bör du köpa till den nya Office-affärsmodellen?Office 365 är ett prenumerationsbaserat paket som erbjuder tillgång till den senaste stationära Office-sviten, Office Online, molnlagring och premiummobilappar. Ger Office 365 tillräckligt med värde för att vara värt pengarna? Läs mer , som leder förpackningen när det gäller att bekämpa VD Bedrägeri.

Jag hoppas verkligen inte, men har du någonsin blivit offer för en pengemotiverad e-postbedrägeri? I så fall vill jag höra om det. Släpp en kommentar nedan och berätta vad som gick ner.

Fotokrediter: AnonDollar (Din Anon), Miguel The Entertainment CEO (Jorge)