CEO Bedrageri: Denne fidus vil få dig fyret & amp; Omkostninger din chef Money

E-mail er et fælles angreb vektor, der anvendes af svindlere og it-kriminelle. Men hvis du troede, at det kun blev brugt til at sprede malware, phishing og nigerianske forhånd gebyr svindel, mener igen. Der er en ny e-mail-drevne fidus, hvor en hacker vil foregive at være din chef, og få dig til at overføre tusindvis af dollars af virksomhedens midler på en bankkonto, de kontrollerer.

Det hedder CEO Svig, eller "Insider spoofing ".

Forstå Attack

Så hvordan gør angrebet arbejde? Tja, for en hacker at kunne trække det ud, de har brug for at vide en masse oplysninger om virksomheden, de er rettet mod.

Meget af denne information er om den hierarkiske struktur i virksomheden eller institutionen, de er målretning. De bliver nødt til at vide, som
de vil være udgive. Selv om denne type svindel er kendt som "CEO bedrageri", i virkeligheden er rettet mod nogen
med en ledende rolle - nogen, der ville være i stand til at indlede betalinger. De bliver nødt til at kende deres navn, og deres e-mail adresse. Det ville også bidrage til at kende deres tidsplan, og når de ville være på rejse, eller på ferie.

Endelig har de brug for at vide, hvem i organisationen er i stand til at udstede pengeoverførsler , såsom en revisor eller nogen i ansættelse i økonomiafdelingen.

Mange af disse oplysninger kan frit findes på hjemmesiderne for den pågældende virksomhed. Mange mellemstore og-lille størrelse virksomheder har "About Us" sider, hvor de opfører deres ansatte, deres roller og ansvar samt deres kontaktoplysninger.

At finde nogens tidsplaner kan være en lille smule hårdere. Langt de fleste mennesker ikke offentliggøre deres kalender online. Men mange mennesker offentliggøre deres bevægelser på sociale medier sites, ligesom Twitter, Facebook, og Swarm (tidligere Foursquare). En hacker kun behøver at vente, indtil de har forladt kontoret, og de kan strejke
jeg på St Georges Market -. @ Stgeorgesbt1 i Belfast, Co Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17 Jan 2016

Når hackeren har hver brik i puslespillet han har brug for at gennemføre angrebet, vil de derefter e-mail finansiere medarbejder , der påstås at være den administrerende direktør, og anmoder om, at de indleder en pengeoverførsel til en bankkonto, de kontrollerer.

for det til at virke, e-mailen skal se ægte. De vil enten bruge en e-mail-konto, der ser »legitime« eller plausibel (For eksempel [email protected]), eller selv om 'spoofing' CEO ægte e-mail. Dette vil være, hvor en e-mail sendes med modificeret overskrifter, så "Fra:" feltet indeholder CEO ægte e-mail. Nogle motiverede angribere vil forsøge at få den administrerende direktør til at e-maile dem, så de kan duplikere stylings og æstetik deres e-mail.

Hackeren vil håbe, at medarbejderen finansiering vil blive presset til at indlede overførslen uden at kontrollere først med den målrettede udøvende magt. Dette spil ofte betaler sig, med nogle virksomheder har unwittily udbetalt hundredtusindvis af dollars. Et selskab i Frankrig, som blev profileret af BBC mistede 100.000 euro. Angriberne forsøgte at få 500.000, men alle undtagen en af ​​betalingerne blev blokeret af banken, der mistanke om svig.

Hvordan Social Engineering angreb Arbejde

Traditionelle computer sikkerhedstrusler tendens til at være teknologiske i natur. Som et resultat, kan du anvende tekniske foranstaltninger til at besejre disse angreb. Hvis du får inficeret med malware, kan du installere et anti-virus program. Hvis nogen har forsøgt at hacke din webserver, kan du hyre nogen til at udføre en penetration test og rådgive dig om, hvordan du kan "hærde" maskinen mod andre angreb

Social engineering angreb -. Hvoraf CEO svig et eksempel på - er meget sværere at afbøde imod, fordi de ikke angribe systemer eller hardware. De er angriber mennesker. Snarere end at udnytte sårbarheder i koden, de drage fordel af den menneskelige natur, og vores instinktive biologiske bydende nødvendigt at have tillid til andre mennesker. En af de mest interessante forklaringer på dette angreb blev foretaget ved DEFCON konference i 2013.

Nogle af de mest kæbe-droppingly dristige hacks var et produkt af social engineering.
< p> i 2012, tidligere-kabel journalist Mat Honan befandt sig under angreb af en beslutsom cadre af cyber-kriminelle, der blev bestemt at nedlægge sit online liv. Ved at bruge social engineering taktik, de var i stand til at overbevise Amazon og Apple til at give dem de oplysninger, de havde brug for at fjernstyre-tørre sin MacBook Air og iPhone, slette hans email-konto, og beslaglægge hans indflydelsesrige Twitter-konto for at skrive racistiske og homofobiske skældsord . Du kan læse den nedkøling fortælling her.

Social engineering angreb er næppe en ny innovation. Hackere har brugt dem i årtier for at få adgang til systemer, bygninger og information i årtier. En af de mest berygtede sociale ingeniører er Kevin Mitnick, der i midten af ​​90'erne brugt år gemmer sig fra politiet, efter at begå en række computer forbrydelser. Han blev fængslet i fem år, og blev forbudt at bruge en computer, indtil 2003. Som hackere går, var Mitnick så tæt som du kan komme til at have rockstar status. Da han endelig fik lov til at bruge internettet, blev det tv på Leo Laporte s De Screen Savers
.

Han til sidst gik legit. Han kører nu sin egen computer-sikkerhed konsulentfirmaet, og har skrevet en række bøger om social engineering og hacking. Måske den mest velansete er "The Art of Deception". Det er primært en antologi af korte historier, der ser på, hvordan social engineering angreb kan trækkes fra, og hvordan du beskytter dig mod dem, og kan købes på Amazon
The Art of Deception:. Styring af menneskelige element af sikkerhed i denne bog, den berømte Hacker Kevin Mitnick forklarer nogle af hans teknikker
Pris:.?
$ 4.68Buy nu på Amazon.com
Hvad kan gøres om CEO Svig

Så lad os rekapitulere. Vi ved, at CEO Bedrageri er forfærdeligt. Vi ved, det er koste en masse virksomheder en masse penge. Vi ved, det er utroligt svært at afbøde imod, fordi det er et angreb mod mennesker, ikke imod computere. Den sidste ting tilbage at dække, er, hvordan vi kæmpe imod det.

Det er lettere sagt end gjort. Hvis du er en medarbejder, og du har modtaget en mistænkelig betalingsanmodning fra din arbejdsgiver eller chef, kan du tjekke ind med dem (ved hjælp af en anden end email metode) for at se, om det var ægte. De kan være en smule irriteret med dig for at genere dem, men de vil sandsynligvis være mere
irriteret, hvis du endte med at sende $ 100.000 af virksomhedens midler til en udenlandsk bankkonto.

der er teknologiske løsninger, der kan bruges, også. Microsofts kommende opdatering til Office 365 vil indeholde nogle beskyttelse mod denne type angreb, ved at kontrollere kilden til hver e-mail for at se, om det kom fra en betroet kontakt. Microsoft regner med, at de har opnået en forbedring 500% i, hvordan Office 365 identificerer falske eller misvisende e-mails.

Lad dig ikke Stukket

Den mest pålidelige måde at beskytte mod disse angreb er at være skeptisk. Når du får en e-mail, der beder dig om at gøre en stor pengeoverførsel, kalde din chef at se, om det er legit. Hvis du har nogen magt med IT-afdelingen, overveje at bede dem om at flytte til Office 365, som er førende pakningen, når det kommer til at bekæmpe CEO Svig.

Jeg håber bestemt ikke, men har du nogensinde været offer for en penge-motiveret email fidus? Hvis ja, jeg vil gerne høre om det. Drop være en kommentar nedenfor, og fortæl mig, hvad der gik ned

Foto Credits:. AnonDollar (Din Anon), Miguel The Entertainment CEO (Jorge)