Fraude do CEO: esse golpe fará com que você seja demitido e custará dinheiro ao seu chefe

Propaganda

O email é um vetor de ataque comum usado por fraudadores e criminosos de computador. Mas se você pensou que era usado apenas para espalhar malware, phishing e Golpes de taxa de avanço nigeriano Os emails fraudulentos da Nigéria ocultam um segredo terrível? [Opinião]Outro dia, outro e-mail de spam cai na minha caixa de entrada, de alguma forma contornando o filtro de spam do Windows Live, que faz um bom trabalho de proteger meus olhos de todos os outros itens não solicitados ... consulte Mais informação , pense de novo. Há uma nova fraude orientada por email, na qual um invasor finge ser seu chefe e permite que você transfira milhares de dólares em fundos da empresa para uma conta bancária que eles controlam.

Chama-se CEO Fraude, ou "Insider Spoofing".

Compreendendo o ataque

Então, como funciona o ataque? Bem, para que um invasor o faça com sucesso, ele precisa conhecer muitas informações sobre a empresa que está direcionando.

Muitas dessas informações são sobre a estrutura hierárquica da empresa ou instituição para a qual estão direcionadas. Eles precisam saber

Who eles vão se passar por. Embora esse tipo de golpe seja conhecido como "fraude do CEO", na realidade ele visa qualquer um com uma função sênior - qualquer pessoa que possa iniciar pagamentos. Eles precisam saber o nome e o endereço de email. Também ajudaria a saber a programação deles, e quando eles viajariam ou passariam férias.

Finalmente, eles precisam saber quem na organização pode emitir transferências de dinheiro, como um contador ou alguém que trabalha no departamento financeiro.

Muitas dessas informações podem ser encontradas gratuitamente nos sites da empresa em questão. Muitas empresas de médio e pequeno porte têm páginas "Sobre nós", onde listam seus funcionários, suas funções e responsabilidades e suas informações de contato.

Encontrar as agendas de alguém pode ser um pouco mais difícil. A grande maioria das pessoas não divulga sua agenda on-line. No entanto, muitas pessoas divulgam seus movimentos em sites de mídia social, como Twitter, Facebook e Enxame (anteriormente Quadrangular) Quadrangular relança como ferramenta de descoberta com base no seu gostoA Quadrangular foi pioneira no check-in móvel; uma atualização de status baseada em localização que disse ao mundo exatamente onde você estava e por que - então, a mudança para uma ferramenta de descoberta pura é um passo à frente? consulte Mais informação . Um invasor só precisa esperar até sair do escritório e poder atacar.

Estou no St George's Market - @ stgeorgesbt1 em Belfast, Co. Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17 de janeiro de 2016

Depois que o atacante tiver todas as peças do quebra-cabeça necessárias para conduzir o ataque, ele enviará um e-mail às finanças funcionário, pretendendo ser o CEO e solicitando que inicie uma transferência de dinheiro para uma conta bancária ao controle.

Para que funcione, o email deve parecer genuíno. Eles usarão uma conta de e-mail que pareça 'legítima' ou plausível (por exemplo, [email protected]) ou "falsificando" o e-mail genuíno do CEO. É nesse local que um email é enviado com cabeçalhos modificados; portanto, o campo "De:" contém o email original do CEO. Alguns atacantes motivados tentam convencer o CEO a enviá-los por e-mail, para que possam duplicar o estilo e a estética de seus e-mails.

O atacante espera que o funcionário financeiro seja pressionado a iniciar a transferência sem verificar primeiro com o executivo visado. Essa aposta geralmente compensa, com algumas empresas pagando centenas de milhares de dólares de forma inusitada. Uma empresa na França que era perfilado pela BBC perdeu 100.000 euros. Os atacantes tentaram obter 500.000, mas todos, exceto um dos pagamentos, foram bloqueados pelo banco, que suspeitava de fraude.

Como funcionam os ataques de engenharia social

As ameaças tradicionais à segurança de computadores tendem a ser de natureza tecnológica. Como resultado, você pode empregar medidas tecnológicas para derrotar esses ataques. Se você for infectado por malware, poderá instalar um programa antivírus. Se alguém estiver tentando invadir seu servidor da Web, você pode contratar alguém para realizar um teste de penetração e aconselhá-lo sobre como pode "proteger" a máquina contra outros ataques.

Ataques de engenharia social O que é engenharia social? [MakeUseOf explica]Você pode instalar o firewall mais forte e mais caro do setor. Você pode educar os funcionários sobre os procedimentos básicos de segurança e a importância de escolher senhas fortes. Você pode até bloquear a sala do servidor - mas como ... consulte Mais informação - das quais a fraude do CEO é um exemplo - são muito mais difíceis de mitigar, porque não estão atacando sistemas ou hardware. Eles estão atacando pessoas. Em vez de explorar vulnerabilidades no código, elas se aproveitam da natureza humana e do nosso imperativo biológico instintivo de confiar em outras pessoas. Uma das explicações mais interessantes deste ataque foi feita na conferência DEFCON em 2013.

Alguns dos hacks mais audaciosos e impressionantes foram um produto da engenharia social.

Em 2012, o ex-jornalista da Wired Mat Honan foi atacado por um grupo determinado de criminosos cibernéticos, que estavam determinados a desmantelar sua vida on-line. Usando táticas de engenharia social, eles conseguiram convencer a Amazon e a Apple a fornecer as informações necessárias para limpar remotamente seu MacBook Air e iPhone, exclua sua conta de e-mail e aproveite sua conta influente do Twitter para publicar informações raciais e homofóbicas epítetos. Vocês pode ler o conto arrepiante aqui.

Os ataques de engenharia social dificilmente são uma inovação nova. Os hackers os utilizam há décadas para obter acesso a sistemas, edifícios e informações há décadas. Um dos mais notórios engenheiros sociais é Kevin Mitnick, que em meados dos anos 90 passou anos se escondendo da polícia, depois de cometer uma série de crimes de computador. Ele ficou preso por cinco anos e foi proibido de usar um computador até 2003. Como hackers, Mitnick estava o mais próximo possível tendo status de rockstar 10 dos mais famosos e melhores hackers do mundo (e suas histórias fascinantes)Hackers de chapéu branco versus hackers de chapéu preto. Aqui estão os melhores e mais famosos hackers da história e o que estão fazendo hoje. consulte Mais informação . Quando ele finalmente teve permissão para usar a Internet, ela foi televisionada no canal de Leo Laporte. Os protetores de tela.

Ele acabou se tornando legítimo. Ele agora dirige sua própria empresa de consultoria em segurança de computadores e escreveu vários livros sobre engenharia social e hackers. Talvez o mais conhecido seja "A Arte da Decepção". Esta é essencialmente uma antologia de histórias curtas que analisam como os ataques de engenharia social podem ser realizados e como proteja-se contra eles Como se proteger contra ataques de engenharia socialNa semana passada, vimos algumas das principais ameaças de engenharia social que você, sua empresa ou seus funcionários devem estar atentos. Em poucas palavras, a engenharia social é semelhante a uma ... consulte Mais informação e está disponível para compra na Amazon.

O que pode ser feito sobre a fraude do CEO?

Então, vamos recapitular. Sabemos que a fraude do CEO é horrível. Sabemos que custa muito dinheiro a muitas empresas. Sabemos que é incrivelmente difícil mitigar, porque é um ataque contra seres humanos, não contra computadores. A última coisa a ser abordada é como lutamos contra isso.

Isto é mais fácil dizer do que fazer. Se você é um funcionário e recebeu uma solicitação de pagamento suspeita do seu empregador ou chefe, convém entrar em contato com eles (usando um método que não seja o e-mail) para ver se era genuíno. Eles podem ficar um pouco irritados com você por incomodá-los, mas provavelmente ficarão Mais aborrecido se você acabou enviando $ 100.000 em fundos da empresa para uma conta bancária estrangeira.

Existem soluções tecnológicas que também podem ser usadas. Da Microsoft próxima atualização para o Office 365 conterá algumas proteções contra esse tipo de ataque, verificando a origem de cada email para ver se ele veio de um contato confiável. A Microsoft calcula que eles alcançaram uma melhoria de 500% na maneira como o Office 365 identifica e-mails falsificados ou falsificados.

Não seja picado

A maneira mais confiável de se proteger contra esses ataques é ser cético. Sempre que você receber um e-mail solicitando uma grande transferência de dinheiro, ligue para seu chefe para ver se é legítimo. Se você tem alguma influência sobre o departamento de TI, peça a eles que mudar para o Office 365 Uma introdução ao Office 365: você deve aderir ao novo modelo de negócios do Office?O Office 365 é um pacote baseado em assinatura que oferece acesso ao último pacote de desktop do Office, Office Online, armazenamento em nuvem e aplicativos móveis premium. O Office 365 fornece valor suficiente para valer o dinheiro? consulte Mais informação , que lidera o grupo quando se trata de combater a fraude do CEO.

Certamente espero que não, mas você já foi vítima de um golpe de email motivado por dinheiro? Se assim for, eu quero ouvir sobre isso. Deixe um comentário abaixo e me diga o que aconteceu.

Créditos fotográficos: AnonDollar (seu Anon), Miguel O CEO do Entretenimento (Jorge)