Delen:
CEO fraude Deze zwendel zal je ontslagen en kosten je baas geld
E-mail is een veel voorkomende aanvalsvector die wordt gebruikt door fraudeurs en computercriminelen. Maar als u dacht dat het alleen werd gebruikt voor het verspreiden van malware, phishing en Nigerian advance fee scams Verbergen Nigeriaanse scam-e-mails een verschrikkelijk geheim? [Opinion] Verbergen Nigeriaanse scam-e-mails een vreselijk geheim? [Opinion] Nog een dag, een andere spam-e-mail komt in mijn inbox terecht, op de een of andere manier werkt het rond in de Windows Live-spamfilter die mijn ogen zo goed beschermt tegen alle andere ongevraagde ... Lees meer, denk opnieuw. Er is een nieuwe e-mailgestuurde oplichting waarbij een aanvaller zich als uw baas zal voordoen en u duizenden dollars aan bedrijfsgelden naar een bankrekening die zij beheren, kunt overzetten.
Het wordt CEO Fraud genoemd, of “Insider spoofing”.
De aanval begrijpen
Dus, hoe werkt de aanval? Welnu, voor een aanvaller die het goed wil doen, moeten ze veel informatie over het bedrijf kennen.
Veel van deze informatie gaat over de hiërarchische structuur van het bedrijf of de instelling die ze targeten. Ze zullen het moeten weten wie ze zullen zich voordoen. Hoewel dit soort zwendel bekend staat als “CEO-fraude”, in werkelijkheid is het gericht iedereen met een senior rol - iedereen die betalingen zou kunnen initiëren. Ze moeten hun naam en hun e-mailadres weten. Het zou ook helpen om hun planning te kennen, en wanneer ze zouden reizen of op vakantie zouden zijn.
Ten slotte moeten ze weten wie in de organisatie in staat is geldovermakingen uit te geven, zoals een accountant of iemand in dienst van de financiële afdeling.
Veel van deze informatie is vrij te vinden op de websites van het bedrijf in kwestie. Veel middelgrote en kleine bedrijven hebben “Over ons” pagina's, waar ze hun werknemers, hun rollen en verantwoordelijkheden en hun contactgegevens vermelden.
Iemands planningen vinden kan een beetje moeilijker zijn. De overgrote meerderheid van mensen publiceert zijn agenda niet online. Veel mensen publiceren hun bewegingen echter op sociale-mediasites, zoals Twitter, Facebook en Swarm (voorheen Foursquare). Foursquare herleeft als ontdekkingshulpmiddel op basis van uw smaak Foursquare herleeft als ontdekkingshulpmiddel op basis van uw smaak Foursquare is pionier op mobiel inchecken; een locatiegebaseerde statusupdate die de wereld precies vertelde waar je was en waarom - is de overstap naar een pure discovery-tool een stap vooruit? Lees verder . Een aanvaller hoeft alleen maar te wachten tot hij het kantoor heeft verlaten en ze kunnen toeslaan.
Ik ben op St George's Market - @ stgeorgesbt1 in Belfast, Co. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17 januari 2016
Zodra de aanvaller elk stukje van de puzzel heeft die hij nodig heeft om de aanval uit te voeren, mailt hij de financiële medewerker, die beweert de CEO te zijn, en verzoekt hij om een geldtransactie te starten naar een bankrekening die hij beheert.
Om het te laten werken, moet de e-mail er echt uitzien. Ze gebruiken een e-mailaccount dat 'legitiem' of aannemelijk lijkt (bijvoorbeeld [email protected]), of hoewel het de echte e-mail van de CEO 'bedriegt'. Dit is waar een e-mail wordt verzonden met aangepaste headers, dus de “Van:” veld bevat de echte e-mail van de CEO. Sommige gemotiveerde aanvallers proberen de CEO e-mail te sturen, zodat ze de vormgeving en esthetiek van hun e-mail kunnen dupliceren.
De aanvaller zal hopen dat de financieel medewerker onder druk zal worden gezet om de overdracht te starten zonder eerst de gerichte leidinggevende te controleren. Deze weddenschap loont vaak, en sommige bedrijven hebben honderdduizenden dollars achteraf uitbetaald. Een bedrijf in Frankrijk dat werd geprofileerd door de BBC verloor 100.000 euro. De aanvallers probeerden 500.000 te krijgen, maar op één na werden alle betalingen geblokkeerd door de bank, die fraude vermoedde.
Hoe aanvallen van sociale wetenschappen werken
Traditionele computerbeveiligingsbedreigingen zijn meestal van technologische aard. Als gevolg hiervan kunt u technologische maatregelen nemen om deze aanvallen te verslaan. Als u geïnfecteerd raakt met malware, kunt u een antivirusprogramma installeren. Als iemand je webserver probeert te hacken, kun je iemand inhuren om een penetratietest uit te voeren en je advies geven over hoe je de machine kunt 'verharden' tegen andere aanvallen..
Social engineering-aanvallen Wat is social engineering? [MakeUseOf Explains] Wat is social engineering? [MakeUseOf Explains] U kunt de sterkste en duurste firewall van de industrie installeren. U kunt werknemers informeren over basisbeveiligingsprocedures en het belang van het kiezen van sterke wachtwoorden. U kunt zelfs de serverruimte vergrendelen - maar hoe ... Lees meer - waarvan CEO-fraude een voorbeeld is - zijn veel moeilijker om mee te beperken, omdat ze geen systemen of hardware aanvallen. Ze vallen mensen aan. In plaats van het misbruiken van kwetsbaarheden in code, profiteren ze van de menselijke natuur en onze instinctieve biologische noodzaak om andere mensen te vertrouwen. Een van de meest interessante verklaringen voor deze aanval is gemaakt tijdens de DEFCON-conferentie in 2013.
Enkele van de meest overweldigend gedurfde hacks waren een product van social engineering.
In 2012 werd voormalig Wired-journalist Mat Honan aangevallen door een vastomlijnd kader van cybercriminelen, die vastbesloten waren zijn online leven te ontmantelen. Door social engineering tactieken te gebruiken, konden ze Amazon en Apple overtuigen om hen de informatie te geven die ze nodig hadden om op afstand zijn MacBook Air en iPhone te wissen, zijn e-mailaccount te verwijderen en zijn invloedrijke Twitter-account te veroveren om raciale en homofobe scheldwoorden te posten . Je kunt het huiveringwekkende verhaal hier lezen.
Social engineering-aanvallen zijn nauwelijks een nieuwe innovatie. Hackers gebruiken ze al decennia lang om al decennia toegang te krijgen tot systemen, gebouwen en informatie. Een van de meest beruchte sociale ingenieurs is Kevin Mitnick, die midden jaren negentig jarenlang voor de politie heeft verborgen nadat hij een reeks computercriminelen had begaan. Hij kreeg vijf jaar gevangenisstraf en was het verboden om een computer te gebruiken tot 2003. Terwijl hackers gingen, was Mitnick zo dicht als je kon bij het hebben van de rockstar-status 10 van 's werelds beroemdste hackers (en What Happened to Them) 10 van de 'S Werelds meest bekende hackers (en wat is er met ze gebeurd) Hackers met een witte hoed versus hackers met een zwarte hoed. Dit zijn de beroemdste hackers in de geschiedenis en wat ze vandaag doen. Lees verder . Toen hij eindelijk internet mocht gebruiken, werd het uitgezonden op Leo Laporte's De screensavers.
Hij ging uiteindelijk legit. Hij runt nu zijn eigen computerbeveiligingsadviesbureau en heeft een aantal boeken geschreven over social engineering en hacking. Misschien wel de meest gerespecteerde is “The Art of Deception”. Dit is in essentie een bloemlezing van korte verhalen die kijken naar hoe aanvallen van social engineering kunnen worden uitgevoerd, en hoe je jezelf kunt beschermen tegen hen. Hoe je jezelf moet beschermen tegen aanvallen van social engineering Hoe je jezelf kunt beschermen tegen aanvallen van social engineering Vorige week hebben we gekeken naar enkele van de belangrijkste bedreigingen voor social engineering waar u, uw bedrijf of uw werknemers op moeten letten. In een notendop is social engineering vergelijkbaar met een ... Lees meer en is verkrijgbaar bij Amazon.
De kunst van misleiding: beheersing van het menselijke beveiligingselement De kunst van misleiding: beheersing van het menselijke element van veiligheid Nu kopen bij Amazon $ 5,58
Wat kan er gedaan worden over CEO Fraude?
Dus laten we samenvatten. We weten dat CEO Fraud vreselijk is. We weten dat het veel bedrijven veel geld kost. We weten dat het ongelooflijk moeilijk is om te verzachten, omdat het een aanval is op mensen, niet op computers. Het laatste dat overblijft is hoe we ertegen vechten.
Dit is gemakkelijker gezegd dan gedaan. Als je een werknemer bent en je hebt een verdacht betalingsverzoek van je werkgever of baas ontvangen, wil je misschien contact met ze opnemen (op een andere manier dan via e-mail) om te zien of het echt was. Ze zijn misschien een beetje geïrriteerd omdat je hen lastig viel, maar dat zullen ze waarschijnlijk wel zijn meer geïrriteerd als je $ 100.000 aan bedrijfsfondsen naar een buitenlandse bankrekening zou sturen.
Er zijn technologische oplossingen die ook kunnen worden gebruikt. De aankomende update van Microsoft voor Office 365 bevat enkele beveiligingen tegen dit type aanval door de bron van elke e-mail te controleren om te zien of deze afkomstig is van een vertrouwd contact. Microsoft denkt dat ze een verbetering van 500% hebben bereikt in de manier waarop Office 365 nagemaakte of vervalste e-mails identificeert.
Wees niet gestoken
De meest betrouwbare manier om je te beschermen tegen deze aanvallen is sceptisch te zijn. Als u een e-mail ontvangt waarin u wordt gevraagd om een grote overboeking te doen, belt u uw baas om te kijken of deze legitiem is. Als u enige invloed hebt bij de IT-afdeling, overweeg dan om hen te vragen naar Office 365 te gaan. Een inleiding voor Office 365: moet u het nieuwe Office Business Model kopen? Een inleiding tot Office 365: moet u het nieuwe Office Business Model kopen? Office 365 is een abonnementgebaseerd pakket dat toegang biedt tot de nieuwste desktop Office-suite, Office Online, cloudopslag en premium mobiele apps. Biedt Office 365 voldoende waarde om het geld waard te zijn? Read More, dat het voortouw neemt als het gaat om het bestrijden van CEO-fraude.
Ik hoop het zeker niet, maar bent u wel eens het slachtoffer geweest van een geldgemotiveerde e-mailoplichting? Als dat zo is, wil ik erover horen. Laat een reactie achter en vertel me wat er naar beneden is gegaan.
Photo Credits: AnonDollar (Your Anon), Miguel The Entertainment CEO (Jorge)
Meer informatie over: online fraude, online beveiliging, oplichting.