Oszustwo na dyrektora generalnego – jak się przed nim uchronić?
Czy zdarzyło Ci się kiedyś otrzymać wiadomość e-mail, rzekomo od Twojego przełożonego, z prośbą o pilny przelew środków dla „kontrahenta”? Jeśli tak, zachowaj szczególną ostrożność! To może być próba wyłudzenia, tak zwane oszustwo na dyrektora generalnego, które zaraz omówimy.
Zacznijmy od krótkiej historii.
Osobiście zetknąłem się z próbą tego oszustwa wkrótce po rozpoczęciu pracy jako redaktor w newsblog.pl.
Początkowo nic nie wzbudziło moich podejrzeń. Nadawca posłużył się adresem e-mail z domeny Virgin Media ([email protected]). Sądziłem, że mój dyrektor generalny, którego firma również ma siedzibę w Wielkiej Brytanii, może być w jakiś sposób powiązany z tą firmą telekomunikacyjną.
W odpowiedzi na wiadomość z zapytaniem, czy jestem dostępny do wykonania zadania, odpowiedziałem twierdząco. Następnie oszust przedstawił szczegóły rzekomego zadania – przelew kwoty 24 610 INR (około 300 USD) na konto dostawcy, którego dane miałem otrzymać po potwierdzeniu zgody.
Jednak coś mi nie pasowało. Poprosiłem nadawcę o weryfikację tożsamości. Po kilku e-mailach oszust zrezygnował, a całą sprawę przekazałem mojemu prawdziwemu dyrektorowi generalnemu oraz działowi IT firmy Virgin Media.
Choć nie byłem wcześniej szkolony z zakresu ochrony przed takimi oszustwami, miałem szczęście, że nie dałem się nabrać.
Nie powinniśmy jednak polegać tylko na szczęściu. Znajomość mechanizmów działania takich oszustw i edukacja innych w tym zakresie jest kluczowa.
Oszustwo na dyrektora generalnego (CEO Fraud), czyli phishing wyższego szczebla
Ten typ oszustwa to odmiana spear phishingu, czyli ataku skierowanego w konkretną organizację lub jej pracowników. Jeżeli celem ataku jest wysoko postawiony pracownik, np. członek zarządu, mówimy o tzw. „whaling phishing”.
Amerykańskie Federalne Biuro Śledcze (FBI) klasyfikuje te oszustwa jako naruszenie bezpieczeństwa poczty biznesowej (Business Email Compromise – BEC) lub naruszenie bezpieczeństwa konta e-mail (Email Account Compromise – EAC). Według raportu o cyberprzestępczości w 2021 roku, straty spowodowane tymi oszustwami wyniosły prawie 2,4 miliarda dolarów.
Pod względem geograficznym, Nigeria przoduje w liczbie przypadków oszustw na dyrektorów generalnych (46%), na drugim miejscu plasują się Stany Zjednoczone (27%), a na trzecim Wielka Brytania (15%).
Jak to działa?
Oszustwo na dyrektora generalnego nie wymaga żadnych zaawansowanych umiejętności technicznych. Oszust opiera się na prostym e-mailu i technikach socjotechnicznych, aby nakłonić ofiarę do przesłania pieniędzy lub ujawnienia poufnych informacji.
Przyjrzyjmy się kilku najczęściej stosowanym metodom.
Typ 1
Najprostszą formą oszustwa jest losowy e-mail, w którym nadawca podszywa się pod dyrektora generalnego i prosi o pilne przekazanie pieniędzy. Taki atak jest najłatwiejszy do wykrycia. Należy zwrócić uwagę na adres e-mail nadawcy (a nie tylko jego imię i nazwisko).
Zazwyczaj domena adresu e-mail ([email protected]) wskazuje na oszustwo. Zdarza się jednak, że adres e-mail może sugerować powiązanie z renomowaną organizacją (tak było w moim przypadku).
Tego typu zabiegi dodają wiarygodności oszustwu i mogą wprowadzić w błąd mniej doświadczonego pracownika. Ponadto adres e-mail może być bardzo podobny do prawdziwego, różniąc się jedynie drobnymi detalami, np. @gmial.com zamiast @gmail.com.
Wreszcie, oszustwo może zostać przeprowadzone z legalnego, ale przejętego konta e-mail, co bardzo utrudnia jego wykrycie.
Typ 2
Bardziej zaawansowana technika wykorzystuje połączenia wideo. W tym przypadku „przejęty” adres e-mail wysokiego rangą urzędnika służy do wysyłania „pilnych” zaproszeń na spotkania online, najczęściej do pracowników działu finansowego.
Podczas spotkania uczestnicy widzą obraz bez dźwięku (lub z syntetycznie wygenerowanym głosem) i są informowani o problemach z połączeniem.
Następnie „dyrektor” prosi o dokonanie pilnego przelewu na nieznane konta, skąd pieniądze są transferowane dalej, często przy użyciu kryptowalut.
Typ 3
Ten rodzaj oszustwa to wariacja Typu 1, ale jest skierowany do partnerów biznesowych, a nie do pracowników. Jest nazywany oszustwem na fakturze, co lepiej oddaje jego modus operandi.
Klient otrzymuje wiadomość e-mail z prośbą o pilną zapłatę za fakturę na podane konto bankowe.
Źródło: Wiadomości CBC
Ten typ oszustwa jest najskuteczniejszy, ponieważ zazwyczaj wykorzystuje zhakowane firmowe adresy e-mail. Ponieważ komunikacja mailowa jest podstawą, a często jedynym sposobem porozumiewania się profesjonalistów, takie oszustwa prowadzą do ogromnych strat finansowych i wizerunkowych dla atakowanych firm.
Jak rozpoznać oszustwo na dyrektora generalnego?
Trudno jest odmówić prośby własnego przełożonego. Ten aspekt psychologiczny jest powodem, dla którego oszustom tak łatwo jest osiągnąć sukces za pomocą przypadkowego e-maila.
Oprócz podważania próśb o przelanie środków, warto poprosić o spotkanie wideo przed przystąpieniem do „współpracy”.
W większości przypadków wystarczy dokładna analiza adresu e-mail. Może on nie należeć do domeny firmy lub zawierać nieznaczne modyfikacje w nazwie.
Ponadto, instytucja nie rejestruje wszystkich możliwych rozszerzeń domen. Trzeba być czujnym, gdy otrzymujemy wiadomość od [email protected] zamiast od oficjalnego adresu [email protected]
W końcu, wiadomości mogą pochodzić z firmowego adresu e-mail, ale kontrolowanego przez osobę „z zewnątrz”, lub z nieuczciwego konta pracownika. Kluczem do bezpieczeństwa w tej sytuacji jest werbalne potwierdzenie prośby lub poinformowanie większej liczby przełożonych przed dokonaniem jakiejkolwiek płatności.
Najskuteczniejszym sposobem ochrony organizacji, jeśli jesteś jej kierownikiem, jest wprowadzenie symulowanych ataków phishingowych w ramach szkoleń pracowników. Oszuści stale ewoluują, a jednorazowe ostrzeżenie nie będzie wystarczające.
Podsumowanie
Niestety, jesteśmy w dużym stopniu uzależnieni od komunikacji mailowej w biznesie, co tworzy luki, które przestępcy chętnie wykorzystują.
Choć nie ma jeszcze alternatywy dla poczty e-mail, możemy rozszerzyć zakres komunikacji z partnerami biznesowymi o aplikacje takie jak Slack czy WhatsApp. Pozwala to na szybkie weryfikowanie podejrzanych sytuacji i unikanie potencjalnych strat.
PS: Zachęcam również do zapoznania się z artykułem dotyczącym innych rodzajów cyberprzestępstw, co pomoże zwiększyć Twoją świadomość w kwestiach bezpieczeństwa online.