Wiadomość e-mail od dyrektora generalnego?: Wyjaśnienie oszustwa polegającego na wyłudzaniu informacji dotyczących wielorybów

Czy ostatnio otrzymałeś wiadomość e-mail od swojego „CEO” z prośbą o przekazanie pieniędzy „dostawcy”? Nie rób tego! To oszustwo CEO, które wyjaśnię szczegółowo.

Zacznijmy od małej historii w tle.

CEO Fraud przydarzyło mi się prawie dwa miesiące po tym, jak dołączyłem do newsblog.pl jako pełnoetatowy pisarz.

Nie było to od razu oczywiste, ponieważ oszust używał renomowanej nazwy domeny Virgin Media ([email protected]) i myślałem, że mój dyrektor generalny jest w jakiś sposób powiązany z tą firmą telekomunikacyjną, ponieważ obie firmy znajdują się w Wielkiej Brytanii.

Odpowiedziałem więc na wstępne „Chciałbym przydzielić ci zadanie, czy jesteś wolny?” pozytywnie. Następnie nadawca wyszczególnił zadanie obejmujące przelew 24 610 INR (~ 300 USD) do dostawcy, którego szczegóły zostałyby udostępnione, gdybym się zgodził.

Ale to wzbudziło we mnie pewne podejrzenia i poprosiłem nadawcę, aby udowodnił swoją tożsamość, zanim będę mógł cokolwiek przesłać. Kilka e-maili później oszust zrezygnował, a ja wysłałem rozmowę do mojego obecnego dyrektora generalnego i komórki IT Virgin Media.

Chociaż nie miałem wcześniejszego szkolenia w zakresie radzenia sobie z tego rodzaju oszustwami, miałem szczęście, że nie wpadłem w tę pułapkę.

Ale nie powinniśmy polegać na czystym szczęściu; zamiast tego wiedz o tym z góry i edukuj innych.

CEO Fraud, znany również jako Executive Phishing

Podchodzi to pod spear phishing, czyli atak wymierzony w konkretną organizację lub niektórych jej pracowników. Będzie znany jako wielorybniczy atak phishingowy, jeśli celem jest wysoko postawiony pracownik (np. członek zarządu) dowolnej instytucji.

Federalne Biuro Śledcze w USA klasyfikuje te oszustwa jako Business Email Compromise (BEC) lub Email Account Compromise (EAC), które według niniejszego raportu o przestępstwach internetowych przyniosły prawie 2,4 miliarda dolarów strat w 2021 roku.

Pod względem geograficznym Nigeria jest krajem numer jeden, w którym występuje 46% oszustw związanych z prezesami firm, a następnie Stany Zjednoczone (27%) i Wielka Brytania (15%).

Jak to działa?

Warto zauważyć, że oszustwo CEO nie wymaga żadnych umiejętności technicznych ani wiedzy kryminalnej. Wszystko, co otrzymasz, to losowy e-mail i socjotechnika, aby skłonić Cię do wysłania funduszy lub ujawnienia poufnych informacji w celu dalszego nielegalnego działania.

Sprawdźmy kilka sposobów, w jakie źli aktorzy robią to „obecnie”.

Typ 1

Losowy adres e-mail narzucający się jako prezes proszący o pieniądze to najprostsza forma takich sztuczek. A ten jest łatwy do wykrycia. Wszystko, czego musisz szukać, to adres e-mail (a nie imię i nazwisko).

Ogólnie nazwa domeny ([email protected]) ujawnia oszustwo. Jednak adres e-mail może wskazywać na renomowaną organizację (tak było w moim przypadku).

Nagrody te dodały legitymacji do oszustwa, które może stać się ofiarą niedoinformowanego profesjonalisty. Ponadto adres e-mail może wyglądać na autentyczny, ale z niewielkimi niezauważalnymi zmianami, na przykład @gmial.com zamiast @gmail.com.

Wreszcie, może pochodzić z legalnego, ale skompromitowanego adresu e-mail, co sprawia, że ​​wykrycie oszustwa jest niezwykle trudne.

typ 2

Inna bardziej wyrafinowana technika wykorzystuje rozmowy wideo. Obejmuje to „zarządzany” adres e-mail wysokiego rangą urzędnika wysyłającego „pilne” wezwania na spotkania online do swoich pracowników, głównie z działu finansowego.

Następnie uczestnicy widzą obraz bez dźwięku (lub z głębokim fałszywym dźwiękiem) z twierdzeniem, że połączenie nie działa zgodnie z oczekiwaniami.

Następnie „dyrektor biznesowy” prosi o zainicjowanie przelewu bankowego na nieznane konta bankowe, skąd pieniądze są odprowadzane innymi kanałami (czytaj kryptowaluty) po udanym oszustwie.

typ 3

Ten jest odmianą Typu 1, ale atakuje partnerów biznesowych, a nie pracowników, zyskując nazwę – oszustwo na fakturze – bardziej odpowiadającą jego modus operandi.

W takim przypadku klient organizacji otrzymuje wiadomość e-mail z prośbą o pilne opłacenie faktury na określone konta bankowe.

Źródło: Wiadomości CBC

Ten ma najwyższy wskaźnik sukcesu, ponieważ zwykle jest wykonywany przy użyciu zhakowanego firmowego adresu e-mail. A ponieważ poczta elektroniczna jest sposobem, czasem wyłącznie, komunikowania się profesjonalistów, skutkuje to ogromnymi stratami finansowymi i reputacyjnymi dla docelowej organizacji.

Jak sprawdzić oszustwo CEO?

Jako pracownik trudno jest odrzucić prośbę własnego dyrektora generalnego. Ta psychika jest główną przyczyną tego, że sprawcy łatwo odnoszą sukces za pomocą przypadkowego e-maila.

Oprócz kwestionowania próśb finansowych najlepiej poprosić o spotkanie wideo przed „współpracą”.

Co więcej, w większości przypadków wystarczy dokładnie sprawdzić adres e-mail. To może nie należeć do Twojej organizacji lub może zawierać błędne wersje nazwy firmy.

Poza tym instytucja nie może zarejestrować wszystkich rozszerzeń domen. Musisz więc uważać na otrzymywanie wiadomości e-mail od [email protected] kiedy powinien być oficjalny adres [email protected]

Wreszcie, możesz otrzymywać e-maile z adresu firmowego obsługiwanego „z zewnątrz” lub od nieuczciwego członka wewnętrznego. Kluczem do takiej sytuacji jest ustne potwierdzenie lub poinformowanie wielu kierowników przed dokonaniem jakichkolwiek płatności.

A najskuteczniejszym sposobem ochrony organizacji, jeśli nią kierujesz, jest włączenie symulacji phishingu do rutynowych szkoleń pracowników. Ponieważ ci oszuści stale ewoluują. Tak więc jednorazowe ostrzeżenie niewiele pomoże Twoim pracownikom.

Podsumowanie!

Niestety, jesteśmy w dużym stopniu zależni od e-maili biznesowych, pozostawiając duże luki, które często wykorzystują przestępcy.

Chociaż nie ma jeszcze substytutu dla tej formy komunikacji, możemy dodawać partnerów biznesowych na aplikacjach takich jak Slack czy nawet WhatsApp. Pomoże to szybko potwierdzić, czy coś wydaje się podejrzane i uniknąć takich niepowodzeń.

PS: Gdybym był tobą, nie przegapiłbym tego artykułu opisującego rodzaje cyberprzestępstw w celu zwiększenia umiejętności korzystania z Internetu.