CEO Betrug Dieser Betrug wird Sie entlassen und kostet Ihren Chef Geld
E-Mail ist ein allgemeiner Angriffsvektor, der von Betrügern und Computerkriminellen verwendet wird. Wenn Sie jedoch der Meinung waren, dass es nur zur Verbreitung von Malware, Phishing und nigerianischen Vorabbetrugsdelikten verwendet wurde, verstecken sich Nigerian Scam-E-Mails ein schreckliches Geheimnis? [Meinung] Verbergen nigerianische E-Mails ein schreckliches Geheimnis? [Meinung] An einem anderen Tag wird eine weitere Spam-E-Mail in meinem Posteingang abgelegt, die sich irgendwie um den Windows Live-Spam-Filter herumarbeitet, der meine Augen vor all den anderen unerwünschten… Weiterlesen, überlegen Sie noch einmal. Es gibt einen neuen E-Mail-gesteuerten Betrug, bei dem ein Angreifer so tut, als wäre er Ihr Chef, und Sie veranlassen, Tausende von Dollars von Unternehmensgeldern auf ein Bankkonto zu überweisen, das sie kontrollieren.
Es heißt CEO Fraud oder “Insider-Spoofing”.
Den Angriff verstehen
Wie funktioniert der Angriff? Damit ein Angreifer erfolgreich durchkommt, muss er viele Informationen über das Unternehmen erhalten, auf das er abzielt.
Viele dieser Informationen beziehen sich auf die hierarchische Struktur des Unternehmens oder der Institution, auf die sie abzielen. Sie müssen es wissen Wer Sie werden sich imitieren. Obwohl diese Art von Betrug als bekannt ist “CEO Betrug”, in Wirklichkeit zielt es ab jemand mit einer leitenden Rolle - jeder, der Zahlungen veranlassen könnte. Sie müssen ihren Namen und ihre E-Mail-Adresse kennen. Es würde auch hilfreich sein, ihren Zeitplan zu kennen und wann sie reisen würden oder im Urlaub.
Schließlich müssen sie wissen, wer in der Organisation Geldtransfers durchführen kann, z. B. einen Buchhalter oder einen Mitarbeiter der Finanzabteilung.
Viele dieser Informationen sind auf den Websites des betreffenden Unternehmens frei verfügbar. Viele mittelständische und kleine Unternehmen haben dies “Über uns” Seiten, auf denen sie ihre Mitarbeiter, ihre Aufgaben und Verantwortlichkeiten sowie ihre Kontaktinformationen auflisten.
Die Zeitpläne von jemandem zu finden, kann etwas schwieriger sein. Die große Mehrheit der Menschen veröffentlicht ihren Kalender nicht online. Viele Menschen veröffentlichen jedoch ihre Bewegungen auf Social-Media-Websites wie Twitter, Facebook und Swarm (ehemals Foursquare). Foursquare relauncht als Entdeckungswerkzeug, das auf Ihrem Geschmack basiert. Foursquare relauncht als Entdeckungswerkzeug, das auf Ihrem Geschmack basiert. Foursquare war der Vorreiter beim mobilen Check-in. ein standortbasiertes Status-Update, das der Welt genau sagt, wo Sie sich gerade befinden und warum - ist die Umstellung auf ein reines Suchwerkzeug ein Schritt nach vorne? Weiterlesen . Ein Angreifer muss nur warten, bis er das Büro verlassen hat, und er kann zuschlagen.
Ich bin am St. George's Market - @ stgeorgesbt1 in Belfast, Co. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17. Januar 2016
Sobald der Angreifer über jedes Puzzleteil verfügt, das er für den Angriff benötigt, sendet er eine E-Mail an den Finanzangestellten, der angeblich der CEO ist, und fordert, dass er eine Überweisung auf ein Bankkonto veranlasst, das er kontrolliert.
Damit es funktioniert, muss die E-Mail echt aussehen. Sie verwenden entweder ein E-Mail-Konto, das "legitim" oder plausibel erscheint (z. B. [email protected]), oder wenn Sie die echte E-Mail des CEO spoofen. In diesem Fall wird eine E-Mail mit modifizierten Kopfzeilen gesendet “Von:” Das Feld enthält die echte E-Mail des CEO. Einige motivierte Angreifer versuchen, den CEO dazu zu bewegen, ihnen eine E-Mail zu senden, damit sie das Styling und die Ästhetik ihrer E-Mails kopieren können.
Der Angreifer hofft, dass der Finanzmitarbeiter dazu gedrängt wird, die Übergabe einzuleiten, ohne sich vorher an den anvisierten Vorgesetzten zu wenden. Diese Wette lohnt sich oft, und einige Unternehmen haben Hunderttausende von Dollar unfreiwillig ausgezahlt. Ein Unternehmen in Frankreich, das von der BBC profiliert wurde, verlor 100.000 Euro. Die Angreifer versuchten, 500.000 zu erhalten, aber bis auf eine wurden alle Zahlungen von der Bank blockiert, die Betrug vermutete.
Wie Social-Engineering-Angriffe funktionieren
Traditionelle Computersicherheitsbedrohungen sind in der Regel technologischer Natur. Daher können Sie technologische Maßnahmen ergreifen, um diese Angriffe zu bekämpfen. Wenn Sie mit Malware infiziert werden, können Sie ein Antivirenprogramm installieren. Wenn jemand versucht hat, Ihren Webserver zu hacken, können Sie jemanden einstellen, der einen Penetrationstest durchführt, und Sie darüber beraten, wie Sie den Computer gegen andere Angriffe "abhärten" können.
Social Engineering-Angriffe Was ist Social Engineering? [MakeUseOf erklärt] Was ist Social Engineering? [MakeUseOf erklärt] Sie können die stärkste und teuerste Firewall der Branche installieren. Sie können die Mitarbeiter über grundlegende Sicherheitsverfahren und die Wichtigkeit der Wahl sicherer Kennwörter informieren. Sie können sogar den Serverraum sperren - aber wie… Read More - dessen Betrug durch CEOs ein Beispiel ist - ist viel schwerer zu vermeiden, da er weder Systeme noch Hardware angreift. Sie greifen Leute an. Anstatt Schwachstellen im Code auszunutzen, nutzen sie die menschliche Natur und unseren instinktiven biologischen Imperativ, um anderen Menschen zu vertrauen. Eine der interessantesten Erklärungen für diesen Angriff wurde 2013 auf der DEFCON-Konferenz gemacht.
Einige der unglaublich kühnsten Hacks waren ein Produkt von Social Engineering.
Im Jahr 2012 wurde der ehemalige Wired-Journalist Mat Honan von einem entschlossenen Kader von Cyber-Kriminellen angegriffen, die entschlossen waren, sein Online-Leben zu demontieren. Mithilfe von Social-Engineering-Taktiken konnten sie Amazon und Apple überzeugen, ihnen die Informationen zu geben, die sie benötigen, um das MacBook Air und das iPhone aus der Ferne zu löschen, sein E-Mail-Konto zu löschen und seinen einflussreichen Twitter-Account zu nutzen, um rassische und homophobe Epithets zu posten . Sie können die Schauergeschichte hier lesen.
Social-Engineering-Angriffe sind kaum eine Neuerung. Hacker setzen sie seit Jahrzehnten ein, um seit Jahrzehnten Zugang zu Systemen, Gebäuden und Informationen zu erhalten. Einer der bekanntesten Social Engineers ist Kevin Mitnick, der sich Mitte der 90er Jahre nach einer Reihe von Computerdelikten vor der Polizei versteckte. Er wurde für fünf Jahre inhaftiert und durfte bis 2003 keinen Computer benutzen. Als Hacker ging Mitnick so nah wie möglich an den Rockstar-Status 10 der berühmtesten Hacker der Welt (und was mit ihnen geschah) 10 der Die berühmtesten Hacker der Welt (und was mit ihnen geschah) White-Hat-Hacker vs. Black-Hat-Hacker. Hier sind die berühmtesten Hacker der Geschichte und was sie heute machen. Weiterlesen . Als er endlich das Internet nutzen durfte, wurde es von Leo Laporte gesendet Die Bildschirmschoner.
Er wurde schließlich legitim. Er betreibt jetzt eine eigene Beratungsfirma für Computersicherheit und hat eine Reihe von Büchern über Social Engineering und Hacking verfasst. Vielleicht ist das am meisten angesehene “Die Kunst der Täuschung”. Dies ist im Wesentlichen eine Anthologie von Kurzgeschichten, die zeigen, wie Social-Engineering-Angriffe abgezogen werden können und wie Sie sich vor ihnen schützen können. Wie schützen Sie sich vor Social-Engineering-Angriffen? Wie schützen Sie sich vor Social-Engineering-Angriffen? Letzte Woche haben wir uns das angesehen Einige der wichtigsten Social Engineering-Bedrohungen, auf die Sie, Ihr Unternehmen oder Ihre Mitarbeiter achten sollten. Kurz gesagt, ähnelt Social Engineering einem… Weiterlesen und ist bei Amazon erhältlich.
Die Kunst der Täuschung: Kontrolle des menschlichen Elements der Sicherheit Die Kunst der Täuschung: Kontrolle des menschlichen Elements der Sicherheit Kaufen Sie jetzt bei Amazon $ 5,58
Was kann man mit CEO Fraud tun??
Lasst uns zusammenfassen. Wir wissen, dass CEO Fraud schrecklich ist. Wir wissen, dass es vielen Unternehmen viel Geld gekostet hat. Wir wissen, dass es unglaublich schwer ist, dagegen anzugehen, denn es ist ein Angriff auf Menschen, nicht auf Computer. Das letzte, was wir noch wissen müssen, ist, wie wir dagegen kämpfen.
Das ist leichter gesagt als getan. Wenn Sie ein Angestellter sind und eine verdächtige Zahlungsaufforderung von Ihrem Arbeitgeber oder Vorgesetzten erhalten haben, möchten Sie vielleicht (bei einer anderen Methode als E-Mail) bei ihnen nachsehen, ob sie echt ist. Sie sind vielleicht ein bisschen verärgert über Sie, weil Sie sie belästigt haben, aber wahrscheinlich werden sie es tun Mehr ärgerlich, wenn Sie letztendlich 100.000 US-Dollar an ein ausländisches Bankkonto überwiesen haben.
Es gibt auch technologische Lösungen, die verwendet werden können. Das bevorstehende Update für Office 365 von Microsoft enthält einige Schutzmaßnahmen gegen diese Art von Angriff, indem die Quelle jeder E-Mail auf einen vertrauenswürdigen Kontakt überprüft wird. Microsoft geht davon aus, dass Office 365 bei der Erkennung gefälschter oder gefälschter E-Mails eine Verbesserung um 500% erzielt hat.
Sei nicht gestochen
Der zuverlässigste Schutz vor diesen Angriffen besteht darin, skeptisch zu sein. Wenn Sie eine E-Mail erhalten, die Sie zu einer großen Geldüberweisung auffordert, rufen Sie Ihren Chef an, um zu sehen, ob es echt ist. Wenn Sie Einfluss auf die IT-Abteilung haben, sollten Sie sie bitten, zu Office 365 zu wechseln. Einführung in Office 365: Sollten Sie sich für das neue Office-Geschäftsmodell interessieren? Eine Einführung in Office 365: Sollten Sie in das neue Geschäftsmodell von Office einsteigen? Office 365 ist ein Abonnement-basiertes Paket, das Zugriff auf die neueste Desktop-Office-Suite, Office Online, Cloud-Speicher und mobile Premium-Apps bietet. Bietet Office 365 genügend Wert, um das Geld wert zu sein? Lesen Sie mehr, was das Rudel anführt, wenn es um die Bekämpfung von CEO Fraud geht.
Ich hoffe sicherlich nicht, aber sind Sie jemals Opfer eines geldmotivierten E-Mail-Betrugs geworden? Wenn ja, möchte ich davon erfahren. Schreiben Sie unten einen Kommentar und sagen Sie mir, was passiert ist.
Bildnachweise: AnonDollar (Ihr Anon), Miguel The Entertainment CEO (Jorge)
Erfahren Sie mehr über: Online-Betrug, Online-Sicherheit, Betrug.