E-mail a vezérigazgatójától?: Bálnavadászat-adathalász csalás magyarázata

Kapott mostanában e-mailt a „vezérigazgatójától”, amelyben arra kérte, hogy utaljon át pénzt egy „eladónak”? Ne csináld! Ez egy vezérigazgatói csalás, részletesen elmagyarázom.

Kezdjük egy kis háttértörténettel.

CEO Csalás történt velem majdnem két hónappal azután, hogy főállású íróként csatlakoztam a etoppc.com-hez.

Ez nem volt azonnal nyilvánvaló, mivel a csaló egy jó hírű Virgin Media domain nevet használt ([email protected]), és azt hittem, hogy a vezérigazgatóm valamilyen módon kapcsolódik ehhez a távközlési céghez, mivel mindkettő az Egyesült Királyságban található.

Szóval, válaszoltam a kezdeti „Szeretnék kijelölni egy feladatot, szabad vagy?” pozitívan. Ezután a feladó részletezett egy 24 610 INR (~300 USD) átutalást magában foglaló feladatot egy szállítónak, amelynek részleteit megosztották volna, ha beleegyezek.

Ez azonban kissé gyanússá tett, és megkértem a feladót, hogy igazolja kilétét, mielőtt bármit is átadhatnék. Néhány e-maillel később a csaló felmondott, és elküldtem a beszélgetést a tényleges vezérigazgatómnak és a Virgin Media IT cellámnak.

Bár nem volt előzetes képzettségem az ilyen típusú csalások kezelésére, szerencsés voltam, hogy nem estem ebbe a csapdába.

De nem szabad a puszta szerencsére hagyatkoznunk; ehelyett ismerje ezt előre, és oktasson másokat.

CEO Fraud, más néven ügyvezető adathalászat

Ez a lándzsás adathalászat, azaz egy adott szervezet vagy annak egyes alkalmazottai ellen irányuló támadások közé tartozik. Bálnavadászati ​​adathalász támadásnak nevezik, ha a célpont bármely intézmény magas rangú alkalmazottja (például egy c-suite).

  Google Táblázatok beszúrása a Google Dokumentumokba

A Szövetségi Nyomozóiroda (USA) ezeket a csalásokat a Business Email Compromise (BEC) vagy az Email Account Compromise (EAC) alá sorolja, amelyek ezen Internet Crime Report szerint 2021-ben közel 2,4 milliárd dolláros veszteséget jelentettek.

Földrajzilag Nigéria az első számú ország, ahol a vezérigazgatói csalások 46%-a otthont ad, ezt követi az Egyesült Államok (27%) és az Egyesült Királyság (15%).

Hogy működik ez?

Nevezetesen, a vezérigazgatói csaláshoz nincs szükség semmilyen technikai készségre vagy bűnügyi know-how-ra. Mindössze egy véletlenszerű e-mailt és szociális manipulációt fog kapni, hogy pénzt küldjön, vagy bizalmas részleteket fedjen fel további jogellenes cselekményekhez.

Nézzünk meg néhány módszert, amellyel a rossz színészek ezt „jelenleg” megteszik.

1. típus

Az ilyen trükkök legegyszerűbb formája egy véletlenszerű e-mail-cím, amelyen a vezérigazgató egy kis pénzt kér. Ezt pedig könnyű észrevenni. Csak az e-mail címet kell keresned (és nem a nevet).

Általában a domain név ([email protected]) csalást ad. Az e-mail cím azonban neves szervezetet jelezhet (mint az esetemben).

  Hogyan találja meg a legjobb nyaralási ajánlatokat a Google Shopping segítségével

Ezek a díjak legitimitást adtak a csalásnak, amely egy tájékozatlan szakember áldozatává válhat. Ezenkívül az e-mail cím valódinak tűnhet, de enyhe, észrevehetetlen változtatásokkal, például a @gmail.com helyett a @gmial.com.

Végezetül, származhat jogos, de feltört e-mail címről, ami rendkívül nehézzé teszi a csalás észlelését.

2. típus

Egy másik kifinomultabb technika a videohívásokat használja. Ez magában foglalja a legfelsőbb rangú tisztviselő „kezelt” e-mail címét, amely „sürgős” online értekezlet-kéréseket küld alkalmazottainak, főleg a pénzügyi osztályon.

Ezután a résztvevők egy hang nélküli képet látnak (vagy mélyhamisított hanggal), és azt állítják, hogy a kapcsolat nem működik a várt módon.

Ezt követően a „cégvezető” banki átutalást kér ismeretlen bankszámlákra, ahonnan egy sikeres csalás után más csatornákon (olvasni kriptovalutákon) szippantják el a pénzt.

3. típus

Ez az 1. típus egy változata, de az üzleti partnereket célozza meg, nem az alkalmazottakat, így a működési módjának jobban megfelelő névvel – számlacsalást – kap.

Ebben az esetben a szervezet ügyfele e-mailt kap, hogy sürgősen befizesse a számlát meghatározott bankszámlákra.

Forrás: CBC News

Ennek a legmagasabb a sikerességi aránya, mivel általában egy feltört vállalati e-mail-cím használatával hajtják végre. És mivel az e-mail az a mód, amikor néha kizárólag a szakemberek kommunikálnak, ez hatalmas anyagi és hírnévveszteséget okoz a célszervezetnek.

Hogyan ellenőrizhető a vezérigazgatói csalás?

Alkalmazottként nehéz elutasítani a saját vezérigazgatója kérését. Ez a psziché az elsődleges oka annak, hogy az elkövetők egyszerűen egy véletlenszerű e-maillel sikeresek legyenek.

  Hogyan lehet csendesen kikapcsolni a kézbesítést az iMessage-en

A pénzügyi kérések megkérdőjelezése mellett a legjobb, ha az „együttműködés” előtt videomegbeszélést kér.

Sőt, a legtöbb esetben csak gondosan ellenőriznie kell az e-mail címet. Előfordulhat, hogy ez nem az Ön szervezetéhez tartozik, vagy előfordulhat, hogy a cégnév hibásan van írva.

Emellett egy intézmény nem tud minden domain kiterjesztést regisztrálni. Tehát óvakodnia kell attól, hogy e-mailt kapjon tőle [email protected] mikor kell a hivatalos címnek lennie [email protected]

Végül előfordulhat, hogy e-maileket kap egy céges címről, amelyet „külsőről” működtetnek, vagy egy szélhámos belső tagtól. Az ilyen helyzetek kulcsa a szóbeli megerősítés, vagy több vezető tájékoztatása a kifizetések teljesítése előtt.

A szervezet védelmének leghatékonyabb módja, ha Ön vezet egyet, az adathalász szimuláció beépítése a rutin alkalmazottak képzésébe. Mert ezek a csalók folyamatosan fejlődnek. Tehát egy egyszeri figyelmeztetés nem sokat segít az alkalmazottaknak.

Csomagolás!

Sajnos nagymértékben függünk az üzleti e-mailektől, így a bűnözők gyakran kihasználják a nagy kiskapukat.

Bár ez a kommunikációs forma még nem helyettesíthető, üzleti partnereket is hozzáadhatunk olyan alkalmazásokhoz, mint a Slack vagy akár a WhatsApp. Ez segít gyorsan ellenőrizni, ha bármi gyanúsnak tűnik, és elkerülni az ilyen kudarcokat.

PS: A helyedben nem hagynám ki ezt a cikket, amely a számítógépes bûnözés típusaival foglalkozik az internetes jártasság növelése érdekében.