Μήνυμα ηλεκτρονικού ταχυδρομείου από τον Διευθύνοντα Σύμβουλό σας;

από
Tweet
Share
Share
Pin

Λάβατε πρόσφατα ένα email από τον «CEO» σας που ζητούσε να μεταφέρετε χρήματα σε έναν «πωλητή»; Μην το κάνεις! Είναι μια απάτη του CEO που θα σας εξηγήσω λεπτομερώς.

Ας ξεκινήσουμε με μια μικρή ιστορία.

Διευθύνων Σύμβουλος Απάτη μου συνέβη σχεδόν δύο μήνες αφότου ήρθα στο grtechpc.org ως συγγραφέας πλήρους απασχόλησης.

Δεν ήταν προφανές αμέσως, καθώς ο απατεώνας χρησιμοποιούσε ένα φημισμένο όνομα τομέα Virgin Media ([email protected]), και νόμιζα ότι ο Διευθύνων Σύμβουλός μου ήταν κατά κάποιο τρόπο συνδεδεμένος με αυτήν την εταιρεία τηλεπικοινωνιών, καθώς και οι δύο βρίσκονται στο Ηνωμένο Βασίλειο.

Έτσι, απάντησα στο αρχικό “Θα ήθελα να σου αναθέσω μια εργασία, είσαι ελεύθερος;” θετικώς. Στη συνέχεια, ο αποστολέας περιέγραψε μια εργασία που περιελάμβανε μεταφορά 24.610 INR (~300 $) σε έναν προμηθευτή, τα στοιχεία της οποίας θα είχαν κοινοποιηθεί εάν είχα συμφωνήσει.

Αλλά αυτό με έκανε λίγο υποψιασμένο και ζήτησα από τον αποστολέα να αποδείξει την ταυτότητά του πριν μπορέσω να μεταφέρω οτιδήποτε. Λίγα email αργότερα, ο απατεώνας παραιτήθηκε και έστειλα τη συνομιλία στον πραγματικό μου Διευθύνοντα Σύμβουλο και στο κύτταρο IT της Virgin Media.

Αν και δεν είχα προηγούμενη εκπαίδευση για να χειριστώ αυτού του είδους την απάτη, ήμουν τυχερός που δεν έπεσα σε αυτήν την παγίδα.

Αλλά δεν πρέπει να βασιζόμαστε στην καθαρή τύχη. Αντίθετα, ξέρετε αυτό εκ των προτέρων και εκπαιδεύστε τους άλλους.

CEO Fraud, γνωστός και ως Executive Phishing

Αυτό έρχεται κάτω από το spear phishing, μια επίθεση που στοχεύει έναν συγκεκριμένο οργανισμό ή ορισμένους από τους υπαλλήλους του. Θα είναι γνωστό ως επίθεση phishing φαλαινοθηρικών αν ο στόχος είναι ένας υπάλληλος υψηλού προφίλ (όπως ένα c-suite) οποιουδήποτε ιδρύματος.

  13 ιστότοποι ασφάλισης κατοικίδιων ζώων για εξοικονόμηση σε αυτούς τους ακριβούς λογαριασμούς κτηνιάτρων

Το Ομοσπονδιακό Γραφείο Ερευνών, ΗΠΑ, επισημαίνει αυτές τις απάτες κάτω από το Business Email Compromise (BEC) ή Email Account Compromise (EAC), το οποίο αντιπροσώπευε σχεδόν 2,4 δισεκατομμύρια δολάρια σε ζημίες το 2021, σύμφωνα με αυτήν την Έκθεση Διαδικτυακού Εγκλήματος.

Γεωγραφικά, η Νιγηρία είναι η νούμερο ένα χώρα που φιλοξενεί το 46% των απατών σε CEO, ακολουθούμενη από τις ΗΠΑ (27%) και το Ηνωμένο Βασίλειο (15%).

Πως λειτουργεί αυτό?

Συγκεκριμένα, η απάτη του CEO δεν απαιτεί τεχνικές δεξιότητες ή εγκληματική τεχνογνωσία. Το μόνο που θα λάβετε είναι ένα τυχαίο email και μια κοινωνική μηχανική για να σας εξαπατήσουν ώστε να στείλετε χρήματα ή να αποκαλύψετε ευαίσθητες λεπτομέρειες για περαιτέρω πορεία παράνομης δράσης.

Ας δούμε μερικούς τρόπους με τους οποίους κακοί ηθοποιοί το κάνουν αυτό «αυτή τη στιγμή».

Τύπος 1

Μια τυχαία διεύθυνση email που επιβάλλει ο Διευθύνων Σύμβουλος να ζητά κάποια χρήματα είναι η απλούστερη μορφή τέτοιων τεχνασμάτων. Και αυτό είναι εύκολο να εντοπιστεί. Το μόνο που πρέπει να ψάξετε είναι η διεύθυνση email (και όχι το όνομα).

Γενικά, το όνομα τομέα ([email protected]) χαρίζει απάτη. Ωστόσο, η διεύθυνση email μπορεί να υποδεικνύει έναν διάσημο οργανισμό (όπως συνέβη στην περίπτωσή μου).

Αυτά τα βραβεία προσέθεσαν νομιμότητα στην απάτη, η οποία μπορεί να θυματοποιήσει έναν μη ενημερωμένο επαγγελματία. Επιπλέον, η διεύθυνση ηλεκτρονικού ταχυδρομείου μπορεί να φαίνεται γνήσια, αλλά με μικρές απαρατήρητες αλλαγές, όπως το @gmial.com στη θέση του @gmail.com.

  Ποια είναι η διαφορά μεταξύ θηκών τηλεφώνου, προστατευτικών, δερμάτων και καλυμμάτων;

Τέλος, μπορεί να προέρχεται από μια νόμιμη αλλά παραβιασμένη διεύθυνση email, γεγονός που καθιστά εξαιρετικά δύσκολο τον εντοπισμό της απάτης.

Τύπος 2

Μια άλλη πιο εξελιγμένη τεχνική χρησιμοποιεί βιντεοκλήσεις. Αυτό περιλαμβάνει μια «διαχειριζόμενη» διεύθυνση email ενός κορυφαίου αξιωματούχου που στέλνει «επείγουσες» διαδικτυακές αιτήσεις συνάντησης στους υπαλλήλους του, κυρίως στο τμήμα οικονομικών.

Στη συνέχεια, οι συμμετέχοντες βλέπουν μια εικόνα χωρίς ήχο (ή με βαθύ ψεύτικο ήχο) με τον ισχυρισμό ότι η σύνδεση δεν λειτουργεί όπως αναμένεται.

Στη συνέχεια, το «στέλεχος επιχείρησης» ζητά να ξεκινήσει ένα τραπεζικό έμβασμα σε άγνωστους τραπεζικούς λογαριασμούς, από όπου τα χρήματα διοχετεύονται μέσω άλλων καναλιών (διαβάστε κρυπτονομίσματα) μετά από μια επιτυχημένη απάτη.

Τύπος 3

Αυτή είναι μια παραλλαγή του Τύπου 1, αλλά στοχεύει επιχειρηματικούς εταίρους και όχι υπαλλήλους, αποκτώντας ένα όνομα –απάτη τιμολογίου– πιο κατάλληλο για τον τρόπο λειτουργίας του.

Σε αυτήν την περίπτωση, ο πελάτης ενός οργανισμού λαμβάνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου για να πληρώσει επειγόντως ένα τιμολόγιο σε συγκεκριμένους τραπεζικούς λογαριασμούς.

Πηγή: CBC News

Αυτό έχει το υψηλότερο ποσοστό επιτυχίας, καθώς συνήθως βγαίνει χρησιμοποιώντας μια διεύθυνση email εταιρείας που έχει παραβιαστεί. Και δεδομένου ότι το email είναι ο τρόπος, μερικές φορές αποκλειστικά, για την επικοινωνία των επαγγελματιών, έχει ως αποτέλεσμα τεράστιες οικονομικές απώλειες και απώλειες φήμης στον οργανισμό-στόχο.

Πώς να ελέγξετε την απάτη του CEO;

Ως υπάλληλος, είναι δύσκολο να απορρίψετε ένα αίτημα από τον δικό σας διευθύνοντα σύμβουλο. Αυτή η ψυχή είναι η κύρια αιτία που οι δράστες πετυχαίνουν εύκολα με ένα τυχαίο email.

  Πώς να διαγράψετε εφαρμογές στο iPhone

Εκτός από την αμφισβήτηση οικονομικών αιτημάτων, είναι καλύτερο να ζητήσετε μια βιντεοσύσκεψη πριν «συνεργαστείτε».

Επιπλέον, στις περισσότερες περιπτώσεις, χρειάζεται απλώς να ελέγξετε προσεκτικά τη διεύθυνση email. Αυτό μπορεί να μην ανήκει στον οργανισμό σας ή μπορεί να έχει ανορθόγραφες εκδόσεις του ονόματος της εταιρείας.

Επιπλέον, ένα ίδρυμα δεν μπορεί να καταχωρήσει όλες τις επεκτάσεις τομέα. Επομένως, πρέπει να προσέχετε να μην λαμβάνετε email από [email protected] όταν θα έπρεπε να είναι η επίσημη διεύθυνση [email protected]

Τέλος, μπορεί να λαμβάνετε μηνύματα ηλεκτρονικού ταχυδρομείου από μια διεύθυνση εταιρείας που λειτουργεί από “έξω” ή από ένα αδίστακτο εσωτερικό μέλος. Το κλειδί για μια τέτοια κατάσταση είναι η προφορική επιβεβαίωση ή η διατήρηση πολλαπλών στελεχών ενήμεροι πριν από την πραγματοποίηση οποιωνδήποτε πληρωμών.

Και ο πιο αποτελεσματικός τρόπος για να προστατεύσετε τον οργανισμό σας, εάν είστε επικεφαλής, είναι η ενσωμάτωση της προσομοίωσης phishing στη συνήθη εκπαίδευση των εργαζομένων. Γιατί αυτοί οι απατεώνες εξελίσσονται συνεχώς. Έτσι, η παροχή μιας και μοναδικής προειδοποίησης δεν θα βοηθήσει πολύ τους υπαλλήλους σας.

Τυλίγοντας!

Δυστυχώς, εξαρτόμαστε σε μεγάλο βαθμό από τα επαγγελματικά email, αφήνοντας μεγάλα κενά που εκμεταλλεύονται συχνά οι εγκληματίες.

Αν και δεν υπάρχει ακόμα υποκατάστατο αυτής της μορφής επικοινωνίας, μπορούμε να προσθέσουμε επιχειρηματικούς συνεργάτες σε εφαρμογές όπως το Slack ή ακόμα και το WhatsApp. Αυτό θα σας βοηθήσει να επιβεβαιώσετε γρήγορα εάν κάτι φαίνεται ύποπτο και να αποφύγετε τέτοιες αναποδιές.

ΥΓ: Αν ήμουν στη θέση σας, δεν θα έχανα αυτό το άρθρο που καλύπτει είδη εγκλημάτων στον κυβερνοχώρο για πρόσθετη παιδεία στο διαδίκτυο.