CEO-Betrug: Dieser Betrug wird Sie entlassen und Ihren Boss Geld kosten

Werbung

E-Mail ist ein häufiger Angriffsvektor, der von Betrügern und Computerkriminellen verwendet wird. Aber wenn Sie dachten, dass es nur verwendet wurde, um Malware, Phishing und Betrug mit nigerianischen Vorschussgebühren Verstecken nigerianische Betrugs-E-Mails ein schreckliches Geheimnis? [Meinung]An einem anderen Tag landet eine weitere Spam-E-Mail in meinem Posteingang und arbeitet sich irgendwie um den Windows Live-Spamfilter herum, der meine Augen so gut vor allen anderen unerwünschten ... Weiterlesen , Denk nochmal. Es gibt einen neuen E-Mail-gesteuerten Betrug, bei dem ein Angreifer vorgibt, Ihr Chef zu sein, und Sie dazu bringt, Tausende von Dollar an Unternehmensgeldern auf ein von ihm kontrolliertes Bankkonto zu überweisen.

Es wird als CEO Fraud oder "Insider Spoofing" bezeichnet.

Den Angriff verstehen

Wie funktioniert der Angriff? Damit ein Angreifer es erfolgreich schaffen kann, muss er viele Informationen über das Unternehmen kennen, auf das er abzielt.

Ein Großteil dieser Informationen bezieht sich auf die hierarchische Struktur des Unternehmens oder der Institution, auf die sie abzielen. Sie müssen es wissen

WHO Sie geben sich aus. Obwohl diese Art von Betrug als „CEO-Betrug“ bekannt ist, zielt er in Wirklichkeit darauf ab jemand mit einer Führungsrolle - jeder, der in der Lage wäre, Zahlungen einzuleiten. Sie müssen ihren Namen und ihre E-Mail-Adresse kennen. Es ist auch hilfreich, den Zeitplan zu kennen und zu wissen, wann sie auf Reisen oder im Urlaub sind.

Schließlich müssen sie wissen, wer in der Organisation Geldtransfers ausstellen kann, z. B. ein Buchhalter oder eine Mitarbeiterin der Finanzabteilung.

Ein Großteil dieser Informationen kann auf den Websites des betreffenden Unternehmens frei gefunden werden. Viele mittelständische und kleine Unternehmen haben "Über uns" -Seiten, auf denen sie ihre Mitarbeiter, ihre Rollen und Verantwortlichkeiten sowie ihre Kontaktinformationen auflisten.

Es kann etwas schwieriger sein, Zeitpläne für jemanden zu finden. Die überwiegende Mehrheit der Menschen veröffentlicht ihren Kalender nicht online. Viele Menschen veröffentlichen ihre Bewegungen jedoch auf Social-Media-Websites wie Twitter, Facebook und Schwarm (früher Foursquare) Foursquare Relaunches als Discovery-Tool nach Ihrem GeschmackFoursquare war Pionier beim mobilen Check-in. Ein standortbasiertes Status-Update, das der Welt genau mitteilte, wo Sie sich befanden und warum. Ist die Umstellung auf ein reines Discovery-Tool also ein Fortschritt? Weiterlesen . Ein Angreifer müsste nur warten, bis er das Büro verlassen hat, und kann zuschlagen.

Ich bin auf dem St. George's Market - @ stgeorgesbt1 in Belfast, Grafschaft Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17. Januar 2016

Sobald der Angreifer alle Teile des Puzzles hat, die er für den Angriff benötigt, sendet er eine E-Mail an die Finanzen Mitarbeiter, der vorgibt, der CEO zu sein, und darum bittet, eine Geldüberweisung auf ein von ihnen veranlasstes Bankkonto einzuleiten Steuerung.

Damit es funktioniert, muss die E-Mail echt aussehen. Sie verwenden entweder ein E-Mail-Konto, das "legitim" oder plausibel aussieht (z. B.) [email protected]) oder durch "Spoofing" der echten E-Mail des CEO. Hier wird eine E-Mail mit geänderten Kopfzeilen gesendet, sodass das Feld "Von:" die echte E-Mail des CEO enthält. Einige motivierte Angreifer werden versuchen, den CEO dazu zu bringen, ihnen eine E-Mail zu senden, damit sie die Stile und die Ästhetik ihrer E-Mail duplizieren können.

Der Angreifer hofft, dass der Finanzmitarbeiter unter Druck gesetzt wird, die Übertragung einzuleiten, ohne dies zuvor mit der Zielgruppe zu besprechen. Diese Wette zahlt sich oft aus, da einige Unternehmen unabsichtlich Hunderttausende von Dollar ausgezahlt haben. Eine Firma in Frankreich, die war von der BBC profiliert 100.000 Euro verloren. Die Angreifer versuchten, 500.000 zu bekommen, aber alle Zahlungen bis auf eine wurden von der Bank blockiert, die Betrug vermutete.

Wie Social Engineering-Angriffe funktionieren

Herkömmliche Sicherheitsbedrohungen für Computer sind in der Regel technologischer Natur. Infolgedessen können Sie technologische Maßnahmen ergreifen, um diese Angriffe abzuwehren. Wenn Sie mit Malware infiziert werden, können Sie ein Antivirenprogramm installieren. Wenn jemand versucht hat, Ihren Webserver zu hacken, können Sie jemanden beauftragen, einen Penetrationstest durchzuführen und Sie zu beraten, wie Sie den Computer gegen andere Angriffe "härten" können.

Social-Engineering-Angriffe Was ist Social Engineering? [MakeUseOf erklärt]Sie können die branchenweit stärkste und teuerste Firewall installieren. Sie können Mitarbeiter über grundlegende Sicherheitsverfahren und die Wichtigkeit der Auswahl sicherer Kennwörter informieren. Sie können sogar den Serverraum sperren - aber wie ... Weiterlesen - wofür CEO-Betrug ein Beispiel ist - sind viel schwerer zu bekämpfen, da sie keine Systeme oder Hardware angreifen. Sie greifen Leute an. Anstatt Schwachstellen im Code auszunutzen, nutzen sie die menschliche Natur und unseren instinktiven biologischen Imperativ, anderen Menschen zu vertrauen. Eine der interessantesten Erklärungen für diesen Angriff wurde auf der DEFCON-Konferenz 2013 gegeben.

Einige der umwerfendsten kühnen Hacks waren ein Produkt des Social Engineering.

Im Jahr 2012 wurde der ehemalige Wired-Journalist Mat Honan von einem entschlossenen Kader von Cyber-Kriminellen angegriffen, die entschlossen waren, sein Online-Leben zu zerstören. Mithilfe von Social-Engineering-Taktiken konnten sie Amazon und Apple davon überzeugen, ihnen die Informationen bereitzustellen, die sie zum Löschen aus der Ferne benötigten sein MacBook Air und iPhone, löschen Sie sein E-Mail-Konto und nutzen Sie sein einflussreiches Twitter-Konto, um rassistisch und homophob zu posten Beinamen. Du kann die gruselige Geschichte hier lesen.

Social-Engineering-Angriffe sind kaum eine neue Innovation. Hacker nutzen sie seit Jahrzehnten, um seit Jahrzehnten Zugang zu Systemen, Gebäuden und Informationen zu erhalten. Einer der berüchtigtsten Sozialingenieure ist Kevin Mitnick, der sich Mitte der 90er Jahre jahrelang vor der Polizei versteckte, nachdem er eine Reihe von Computerkriminalität begangen hatte. Er war fünf Jahre lang inhaftiert und durfte bis 2003 keinen Computer benutzen. Als Hacker gingen, war Mitnick so nah wie möglich Rockstar-Status haben 10 der berühmtesten und besten Hacker der Welt (und ihre faszinierenden Geschichten)White-Hat-Hacker gegen Black-Hat-Hacker. Hier sind die besten und bekanntesten Hacker der Geschichte und was sie heute tun. Weiterlesen . Als er endlich das Internet nutzen durfte, wurde es auf Leo Laportes ausgestrahlt Die Bildschirmschoner.

Er wurde schließlich legitim. Heute leitet er seine eigene Beratungsfirma für Computersicherheit und hat eine Reihe von Büchern über Social Engineering und Hacking geschrieben. Am bekanntesten ist vielleicht „Die Kunst der Täuschung“. Dies ist im Wesentlichen eine Sammlung von Kurzgeschichten, in denen untersucht wird, wie Social-Engineering-Angriffe abgewehrt werden können und wie schütze dich vor ihnen So schützen Sie sich vor Social-Engineering-AngriffenLetzte Woche haben wir uns einige der wichtigsten Social-Engineering-Bedrohungen angesehen, auf die Sie, Ihr Unternehmen oder Ihre Mitarbeiter achten sollten. Kurz gesagt, Social Engineering ähnelt einem ... Weiterlesen und ist bei Amazon erhältlich.

Was kann gegen CEO-Betrug getan werden?

Fassen wir also zusammen. Wir wissen, dass CEO Fraud schrecklich ist. Wir wissen, dass es viele Unternehmen viel Geld kostet. Wir wissen, dass es unglaublich schwer ist, sich dagegen zu wehren, weil es ein Angriff gegen Menschen ist, nicht gegen Computer. Das Letzte, was noch zu besprechen ist, ist, wie wir dagegen kämpfen.

Das ist leichter gesagt als getan. Wenn Sie ein Mitarbeiter sind und eine verdächtige Zahlungsaufforderung von Ihrem Arbeitgeber oder Chef erhalten haben, möchten Sie möglicherweise bei ihm einchecken (mit einer anderen Methode als E-Mail), um festzustellen, ob diese echt ist. Sie sind vielleicht ein bisschen verärgert über Sie, weil Sie sie belästigt haben, aber sie werden es wahrscheinlich sein Mehr ärgerlich, wenn Sie am Ende 100.000 US-Dollar an Firmengeldern auf ein ausländisches Bankkonto überwiesen haben.

Es gibt auch technologische Lösungen, die verwendet werden können. Microsoft bevorstehendes Update auf Office 365 enthält einige Schutzmaßnahmen gegen diese Art von Angriff, indem die Quelle jeder E-Mail überprüft wird, um festzustellen, ob sie von einem vertrauenswürdigen Kontakt stammt. Microsoft geht davon aus, dass die Identifizierung gefälschter oder gefälschter E-Mails durch Office 365 um 500% verbessert wurde.

Lass dich nicht stechen

Der zuverlässigste Weg, sich vor diesen Angriffen zu schützen, besteht darin, skeptisch zu sein. Wenn Sie eine E-Mail erhalten, in der Sie aufgefordert werden, eine große Überweisung vorzunehmen, rufen Sie Ihren Chef an, um zu prüfen, ob dies legitim ist. Wenn Sie Probleme mit der IT-Abteilung haben, sollten Sie sie darum bitten Wechseln Sie zu Office 365 Eine Einführung in Office 365: Sollten Sie sich für das neue Office-Geschäftsmodell entscheiden?Office 365 ist ein abonnementbasiertes Paket, das Zugriff auf die neueste Desktop-Office-Suite, Office Online, Cloud-Speicher und Premium-Apps für Mobilgeräte bietet. Bietet Office 365 genug Wert, um das Geld wert zu sein? Weiterlesen , das bei der Bekämpfung von CEO-Betrug führend ist.

Ich hoffe sicherlich nicht, aber sind Sie jemals Opfer eines geldmotivierten E-Mail-Betrugs geworden? Wenn ja, möchte ich davon hören. Schreiben Sie unten einen Kommentar und sagen Sie mir, was passiert ist.

Bildnachweis: AnonDollar (Dein Anon), Miguel Der Entertainment-CEO (Jorge)