CEO-fraude: deze zwendel zal u ontslaan en uw baas geld kosten

Advertentie

E-mail is een veelvoorkomende aanvalsvector die wordt gebruikt door fraudeurs en computercriminelen. Maar als je dacht dat het alleen werd gebruikt om malware, phishing en Nigeriaanse oplichtingskosten Verbergen Nigeriaanse zwendel-e-mails een vreselijk geheim? [Mening]Op een andere dag komt er weer een spam-e-mail in mijn inbox terecht, die zich op de een of andere manier een weg baant door het Windows Live-spamfilter dat mijn ogen zo goed beschermt tegen alle andere ongevraagde ... Lees verder , denk nog eens na. Er is een nieuwe oplichting via e-mail waarbij een aanvaller zich voordoet als uw baas en u ertoe brengt duizenden dollars aan bedrijfsgeld over te schrijven naar een bankrekening die zij beheren.

Het wordt CEO-fraude genoemd, of 'insider-spoofing'.

De aanval begrijpen

Dus, hoe werkt de aanval? Om een ​​aanvaller succesvol te laten zijn, moeten ze veel informatie hebben over het bedrijf dat ze targeten.

Veel van deze informatie gaat over de hiërarchische structuur van het bedrijf of de instelling waarop ze zich richten. Ze moeten het weten

wie ze imiteren. Hoewel dit type oplichting bekend staat als "CEO-fraude", is het in werkelijkheid gericht op iedereen met een hoge rol - iedereen die betalingen zou kunnen doen. Ze moeten hun naam en hun e-mailadres weten. Het helpt ook om hun schema te kennen en wanneer ze op reis of op vakantie zijn.

Ten slotte moeten ze weten wie in de organisatie geldoverdrachten kan uitvoeren, zoals een accountant of iemand in dienst van de financiële afdeling.

Veel van deze informatie is vrij te vinden op de websites van het betreffende bedrijf. Veel middelgrote en kleine bedrijven hebben 'Over ons'-pagina's, waar ze hun werknemers, hun rollen en verantwoordelijkheden en hun contactgegevens vermelden.

Iemands schema's vinden kan een beetje moeilijker zijn. De overgrote meerderheid van de mensen publiceert hun agenda niet online. Veel mensen publiceren hun bewegingen echter wel op sociale mediasites, zoals Twitter, Facebook en Swarm (voorheen Foursquare) Foursquare start opnieuw als ontdekkingshulpmiddel op basis van uw smaakFoursquare was een pionier op het gebied van mobiel inchecken; een locatiegebaseerde statusupdate die de wereld precies vertelde waar u was en waarom - dus is de overstap naar een puur ontdekkingstool een stap vooruit? Lees verder . Een aanvaller hoeft alleen maar te wachten tot ze het kantoor hebben verlaten en ze kunnen toeslaan.

Ik ben op St George's Market - @ stgeorgesbt1 in Belfast, Co. Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17 januari 2016

Zodra de aanvaller elk puzzelstukje heeft dat hij nodig heeft om de aanval uit te voeren, e-mailen ze de financiën werknemer, die beweert de CEO te zijn, en hem vraagt ​​om een ​​overboeking te doen naar een bankrekening controle.

Om het te laten werken, moet de e-mail er echt uitzien. Ze gebruiken ofwel een e-mailaccount dat ‘legitiem’ of aannemelijk lijkt (bijvoorbeeld [email protected]), of hoewel de echte e-mail van de CEO ‘vervalst’. Dit is waar een e-mail wordt verzonden met aangepaste kopteksten, dus het veld 'Van:' bevat de echte e-mail van de CEO. Sommige gemotiveerde aanvallers zullen proberen de CEO hen te laten e-mailen, zodat ze de stijl en esthetiek van hun e-mail kunnen dupliceren.

De aanvaller hoopt dat de financiële medewerker onder druk zal worden gezet om de overdracht te starten zonder eerst met de beoogde leidinggevende te overleggen. Deze weddenschap loont vaak, waarbij sommige bedrijven onbedoeld honderdduizenden dollars hebben uitbetaald. Een bedrijf in Frankrijk dat was geprofileerd door de BBC verloor 100.000 euro. De aanvallers probeerden 500.000 te krijgen, maar op één na werden alle betalingen geblokkeerd door de bank, die fraude vermoedde.

Hoe social engineering-aanvallen werken

Traditionele computerbeveiligingsbedreigingen zijn doorgaans technologisch van aard. Hierdoor kun je technologische maatregelen nemen om deze aanvallen te verslaan. Als u geïnfecteerd raakt met malware, kunt u een antivirusprogramma installeren. Als iemand uw webserver probeert te hacken, kunt u iemand inhuren om een ​​penetratietest uit te voeren en u adviseren hoe u de machine kunt 'harden' tegen andere aanvallen.

Social engineering-aanvallen Wat is social engineering? [MakeUseOf Explains]U kunt de sterkste en duurste firewall van de branche installeren. U kunt werknemers informeren over basisbeveiligingsprocedures en het belang van het kiezen van sterke wachtwoorden. U kunt zelfs de serverruimte vergrendelen - maar hoe ... Lees verder - waarvan CEO-fraude een voorbeeld is - zijn veel moeilijker te bestrijden, omdat ze geen systemen of hardware aanvallen. Ze vallen mensen aan. In plaats van kwetsbaarheden in code te misbruiken, profiteren ze van de menselijke natuur en onze instinctieve biologische noodzaak om andere mensen te vertrouwen. Een van de meest interessante verklaringen voor deze aanval werd gegeven tijdens de DEFCON-conferentie in 2013.

Enkele van de meest verbluffende gedurfde hacks waren een product van social engineering.

In 2012 werd voormalig Honoured-journalist Mat Honan aangevallen door een vastberaden kader van cybercriminelen, die vastbesloten waren zijn online leven te ontmantelen. Door social engineering-tactieken te gebruiken, konden ze Amazon en Apple overtuigen om hen de informatie te geven die ze nodig hadden om op afstand te wissen zijn MacBook Air en iPhone, verwijder zijn e-mailaccount en neem zijn invloedrijke Twitter-account in beslag om raciale en homofobe berichten te plaatsen bijnamen. U lees hier het huiveringwekkende verhaal.

Social engineering-aanvallen zijn nauwelijks een nieuwe innovatie. Hackers gebruiken ze al tientallen jaren om toegang te krijgen tot systemen, gebouwen en informatie gedurende tientallen jaren. Een van de meest beruchte sociale ingenieurs is Kevin Mitnick, die halverwege de jaren 90 jarenlang voor de politie verstopte nadat hij een reeks computercriminaliteit had gepleegd. Hij kreeg vijf jaar gevangenisstraf en mocht tot 2003 geen computer gebruiken. Zoals hackers gaan, was Mitnick zo dicht mogelijk bij je met een rockstar-status 10 van 's werelds beroemdste en beste hackers (en hun fascinerende verhalen)White-hat hackers versus black-hat hackers. Dit zijn de beste en bekendste hackers in de geschiedenis en wat ze vandaag doen. Lees verder . Toen hij eindelijk het internet mocht gebruiken, werd het uitgezonden op Leo Laporte's De Screen Savers.

Hij werd uiteindelijk legitiem. Hij heeft nu zijn eigen computerbeveiligingsadviesbureau en heeft een aantal boeken geschreven over social engineering en hacking. Misschien wel de meest gewaardeerde is "The Art of Deception". Dit is in wezen een bloemlezing van korte verhalen die bekijken hoe social engineering-aanvallen kunnen worden uitgevoerd en hoe bescherm jezelf tegen hen Hoe u uzelf kunt beschermen tegen aanvallen van social engineeringVorige week hebben we een aantal van de belangrijkste bedreigingen voor social engineering bekeken waar u, uw bedrijf of uw werknemers op zouden moeten letten. In een notendop is social engineering vergelijkbaar met een ... Lees verder en is beschikbaar voor aankoop bij Amazon.

Wat kan er worden gedaan aan CEO-fraude?

Laten we dus een samenvatting geven. We weten dat CEO-fraude vreselijk is. We weten dat het veel bedrijven veel geld heeft gekost. We weten dat het ongelooflijk moeilijk is om dit tegen te gaan, omdat het een aanval is op mensen, niet op computers. Het laatste dat we nog moeten behandelen, is hoe we ertegen vechten.

Dit is makkelijker gezegd dan gedaan. Als u een werknemer bent en u een verdacht betalingsverzoek van uw werkgever of baas heeft ontvangen, wilt u misschien bij hen inchecken (met een andere methode dan e-mail) om te zien of het echt was. Ze zijn misschien een beetje geïrriteerd omdat je ze lastigvalt, maar dat zullen ze waarschijnlijk wel zijn meer geïrriteerd als je uiteindelijk $ 100.000 aan bedrijfsgelden naar een buitenlandse bankrekening hebt gestuurd.

Er zijn ook technologische oplossingen die kunnen worden gebruikt. Microsoft's aanstaande update voor Office 365 zal enige bescherming tegen dit type aanval bevatten, door de bron van elke e-mail te controleren om te zien of deze afkomstig is van een vertrouwd contact. Microsoft denkt dat ze een verbetering van 500% hebben bereikt in de manier waarop Office 365 nagemaakte of vervalste e-mails identificeert.

Laat je niet prikken

De meest betrouwbare manier om je tegen deze aanvallen te beschermen, is door sceptisch te zijn. Telkens wanneer u een e-mail ontvangt waarin u wordt gevraagd een grote overboeking te doen, belt u uw baas om te zien of deze legitiem is. Als je enige invloed hebt op de IT-afdeling, overweeg dan om ze te vragen ga naar Office 365 Een inleiding tot Office 365: moet u kopen in het nieuwe Office Business Model?Office 365 is een op abonnementen gebaseerd pakket dat toegang biedt tot de nieuwste desktop Office-suite, Office Online, cloudopslag en premium mobiele apps. Biedt Office 365 voldoende waarde om het geld waard te zijn? Lees verder , dat voorop loopt als het gaat om het bestrijden van CEO-fraude.

Ik hoop het zeker niet, maar ben je ooit het slachtoffer geweest van een door geld gemotiveerde e-mailzwendel? Zo ja, dan wil ik erover horen. Laat hieronder een reactie achter en vertel me wat er is gebeurd.

Fotocredits: AnonDollar (uw Anon), Miguel The Entertainment CEO (Jorge)