Reklama

E-mail je bežný vektor útoku, ktorý používajú podvodníci a počítačoví zločinci. Ale ak ste si mysleli, že sa používa iba na šírenie škodlivého softvéru, phishingu a Podvody s Nigérijským poplatkom za preddavky Skryjú nigerijské e-mailové správy príšerné tajomstvo? [Názor]Inokedy do mojej doručenej pošty spadne ďalší spamový e-mail, ktorý nejako prechádza spamovým filtrom Windows Live, ktorý robí takú dobrú prácu, aby ochránil moje oči pred všetkými ostatnými nevyžiadanými ... Čítaj viac , zamysli sa znova. Existuje nový podvod zameraný na e-maily, v ktorom bude útočník predstierať, že je vaším šéfom, a prinútiť vás previesť tisíce dolárov podnikových prostriedkov na bankový účet, ktorý kontrolujú.

Nazýva sa to generálny riaditeľ podvodov alebo „zasvätený podvodník“.

Pochopenie útoku

Ako teda útok funguje? Aby ho útočník úspešne stiahol, potrebuje poznať veľa informácií o spoločnosti, na ktorú zacieľuje.

Väčšina týchto informácií sa týka hierarchickej štruktúry spoločnosti alebo inštitúcie, na ktorú sa zameriavajú. Musia to vedieť

instagram viewer
SZO budú sa predstierať. Aj keď je tento typ podvodov známy ako „podvod generálneho riaditeľa“, v skutočnosti sa zameriava na tento podvod niekto s hlavnou úlohou - každý, kto by mohol iniciovať platby. Musia poznať svoje meno a e-mailovú adresu. Pomohlo by to tiež spoznať ich rozvrh a kedy boli na cestách alebo na dovolenke.

CEO

Napokon musia vedieť, kto v organizácii je schopný vydávať prevody peňazí, ako je účtovník alebo niekto, kto zamestnáva finančné oddelenie.

Väčšina týchto informácií je voľne k dispozícii na webových stránkach príslušnej spoločnosti. Mnoho stredných a malých spoločností má stránky „O nás“, na ktorých uvádza zoznam svojich zamestnancov, ich úlohy a zodpovednosti a kontaktné informácie.

Nájdenie niekoho rozvrhu môže byť o niečo ťažšie. Prevažná väčšina ľudí svoj kalendár neoznamuje online. Mnoho ľudí však zverejňuje svoje hnutia na sociálnych sieťach, ako sú Twitter, Facebook a Roj (predtým Foursquare) Štvorcový štvorec sa znova objavuje ako nástroj na objavovanie založený na vašich vkusochFoursquare priekopníkom mobilnej registrácie; aktualizácia stavu podľa polohy, ktorá povedala svetu presne o tom, kde ste a prečo - je teda prechod na nástroj čistého objavu krokom vpred? Čítaj viac . Útočník by musel čakať, až kým neopustia kanceláriu, a môže zasiahnuť.

Som na St George's Market - @ stgeorgesbt1 v Belfast, Co. Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17. januára 2016

Akonáhle má útočník všetky kúsky skladačky, ktorú potrebuje na vykonanie útoku, pošle finančné prostriedky e-mailom Zamestnanec, ktorý má v úmysle byť generálnym riaditeľom, a žiada, aby iniciovali prevod peňazí na bankový účet, ktorý používajú ovládanie.

Aby e-mail fungoval, musí vyzerať originálne. Budú používať e-mailový účet, ktorý vyzerá „legitímne“ alebo hodnoverný (napríklad [email protected]) alebo „spoofing“ skutočný e-mail generálneho riaditeľa. Tu bude odoslaný e-mail s upravenými hlavičkami, takže pole „Od:“ obsahuje skutočnú e-mailovú adresu generálneho riaditeľa. Niektorí motivovaní útočníci sa pokúsia prinútiť generálneho riaditeľa, aby im poslal e-mail, aby mohli duplikovať štýl a estetiku ich e-mailu.

Útočník dúfa, že na finančného zamestnanca bude vyvíjaný nátlak, aby inicioval prevod bez toho, aby sa najprv obrátil na cieľového manažéra. Táto stávka sa často vypláca, pričom niektoré spoločnosti nechtiac vyplatili stovky tisíc dolárov. Jedna spoločnosť vo Francúzsku, ktorá bola profiluje BBC stratil 100 000 eur. Útočníci sa pokúsili získať 500 000, ale všetky platby okrem jednej boli zablokované bankou, ktorá mala podozrenie z podvodu.

Ako sociálne útoky fungujú

Tradičné hrozby počítačovej bezpečnosti majú zvyčajne technologický charakter. Ako výsledok môžete využiť technologické opatrenia na porazenie týchto útokov. Ak sa nakazíte škodlivým softvérom, môžete nainštalovať antivírusový program. Ak sa niekto pokúšal hacknúť váš webový server, môžete si niekoho najať, aby vykonal penetračný test, a poradí vám, ako môžete stroj „zatvrdiť“ proti iným útokom.

Útoky sociálneho inžinierstva Čo je sociálne inžinierstvo? [MakeUseOf vysvetľuje]Môžete nainštalovať najsilnejší a najdrahší firewall tohto odvetvia. Môžete vzdelávať zamestnancov o základných bezpečnostných postupoch a dôležitosti výberu silných hesiel. Môžete dokonca uzamknúť serverovňu - ale ako ... Čítaj viac - ktorého príkladom je podvod s CEO - je oveľa ťažšie ho zmierniť, pretože nenapádajú systémy ani hardvér. Útočia na ľudí. Namiesto zneužívania slabých miest v kóde využívajú výhody ľudskej povahy a nášho inštinktívneho biologického imperatívu, aby dôverovali iným ľuďom. Jedno z najzaujímavejších vysvetlení tohto útoku bolo na konferencii DEFCON v roku 2013.

Niektoré z najviac odvážnych hackerov boli produktom sociálneho inžinierstva.

V roku 2012 sa bývalý káblový novinár Mat Honan ocitol pod útokom odhodlaného kádra kybernetických zločincov, ktorí boli odhodlaní rozobrať svoj online život. Použitím taktiky sociálneho inžinierstva dokázali presvedčiť Amazon a Apple, aby im poskytli informácie potrebné na diaľkové vymazanie. jeho MacBook Air a iPhone, odstráňte jeho e-mailový účet a využite jeho vplyvný účet Twitter, aby ste mohli uverejňovať rasové a homofóbne nadávky. vy tu si môžete prečítať chladiaci príbeh.

Útoky v oblasti sociálneho inžinierstva sú sotva novou inováciou. Hackeri ich používajú už desaťročia, aby získali prístup k systémom, budovám a informáciám už niekoľko desaťročí. Jedným z najznámejších sociálnych inžinierov je Kevin Mitnick, ktorý v polovici 90. rokov strávil úkryt pred políciou, keď spáchal množstvo počítačových zločinov. Päť rokov bol uväznený a do roku 2003 mu bolo zakázané používať počítač. Ako hackeri odchádzajú, Mitnick bol tak blízko, ako ste sa mohli dostať majú status rockovej hviezdy 10 z najznámejších a najlepších hackerov na svete (a ich fascinujúce príbehy)Hackeri s bielym klobúkom v porovnaní s hackermi s čiernym klobúkom. Tu sú najlepší a najznámejší hackeri v histórii a to, čo dnes robia. Čítaj viac . Keď mu bolo nakoniec povolené používať internet, televízia sa vysielala na serveri Leo Laporte Šetriče obrazovky.

Nakoniec sa stal legitímnym. Teraz prevádzkuje vlastnú konzultačnú firmu v oblasti počítačového zabezpečenia a napísal niekoľko kníh o sociálnom inžinierstve a hackingu. Snáď najuznávanejšie je „Umenie klamstva“. Toto je v podstate antologia poviedok, ktoré sa zaoberajú tým, ako možno atakovať útoky sociálneho inžinierstva a ako Chráňte sa pred nimi Ako sa chrániť pred útokmi v oblasti sociálneho inžinierstvaMinulý týždeň sme sa pozreli na niektoré z hlavných hrozieb v oblasti sociálneho inžinierstva, ktoré by ste mali vy, vaša spoločnosť alebo vaši zamestnanci hľadať. Stručne povedané, sociálne inžinierstvo je podobné ... Čítaj viac , a je možné si ho kúpiť v Amazone.

Čo sa dá urobiť s podvodmi generálneho riaditeľa?

Zoberme si teda zhrnutie. Vieme, že generálny riaditeľ Fraud je hrozný. Vieme, že veľa spoločností stálo veľa peňazí. Vieme, že je neuveriteľne ťažké zmierniť ho, pretože je to útok na ľudí, nie na počítače. Posledná vec, ktorú musíme pokryť, je to, ako proti tomu bojujeme.

To sa ľahšie povie, ako urobí. Ak ste zamestnanec a dostali ste podozrivú žiadosť o platbu od svojho zamestnávateľa alebo šéfa, mali by ste sa u nich skontrolovať (pomocou inej metódy ako e-mailu), aby ste zistili, či je pravá. Možno vás budú trochu obťažovať z toho, že ich obťažujú, ale pravdepodobne to tak bude viac naštvaný, ak ste nakoniec odoslali prostriedky spoločnosti na 100 000 dolárov na zahraničný bankový účet.

AnonDollar

Môžu sa použiť aj technologické riešenia. Microsoft pripravovaná aktualizácia balíka Office 365 bude obsahovať určité ochrany proti tomuto typu útoku. Skontrolujte zdroj každého e-mailu a zistite, či pochádza z dôveryhodného kontaktu. Spoločnosť Microsoft počíta s tým, že dosiahlo 500% zlepšenie v tom, ako Office 365 identifikuje falšované alebo podvodné e-maily.

Nenechajte sa bodnúť

Najspoľahlivejším spôsobom ochrany pred týmito útokmi musí byť skeptický. Vždy, keď dostanete e-mail, ktorý vás požiada o vykonanie veľkého prevodu peňazí, zavolajte na svojho šéfa, aby ste zistili, či je to legitímne. Ak máte nejaký vplyv na oddelenie IT, zvážte ich požiadanie presunúť sa na kanceláriu 365 Úvod do kancelárie 365: Mali by ste si kúpiť nový obchodný model úradu?Office 365 je balík založený na predplatnom, ktorý ponúka prístup k najnovším balíkom Office Office, Office Online, cloudovému úložisku a prémiovým mobilným aplikáciám. Poskytuje balík Office 365 dostatočnú hodnotu na to, aby sa vyplatil? Čítaj viac , ktorý vedie balík v boji proti generálnemu riaditeľovi Fraud.

Určite dúfam, že nie, ale už ste sa niekedy stali obeťou podvodného e-mailu motivovaného k peniazom? Ak áno, chcem o tom počuť. Drop byť komentár nižšie, a povedz mi, čo šlo dole.

Foto Kredity: AnonDollar (Váš Anon), Miguel The Entertainment CEO (Jorge)

Matthew Hughes je vývojár a spisovateľ softvéru z anglického Liverpoolu. Málokedy ho nájde bez šálky silnej čiernej kávy v ruke a úplne zbožňuje jeho Macbook Pro a fotoaparát. Jeho blog si môžete prečítať na stránke http://www.matthewhughes.co.uk a sledujte ho na Twitteri na adrese @matthewhughes.