Annonse

E-post er en vanlig angrepsvektor som brukes av svindlere og datakriminelle. Men hvis du trodde at det bare ble brukt til å spre malware, phishing og Nigerianske forskuddsgebyrsvindel Skjuler nigerianske e-postadresser om svindel en fryktelig hemmelighet? [Mening]Nok en dag, en annen spam-e-post slipper inn i innboksen min, på en eller annen måte jobber seg rundt Windows Live-spamfilteret som gjør en så god jobb med å beskytte øynene mine mot alle de andre uoppfordrede ... Les mer , Tenk igjen. Det er en ny e-postdrevet svindel der en angriper vil late som om du er sjefen din, og får deg til å overføre tusenvis av dollar av selskapsmidler til en bankkonto de kontrollerer.

Det kalles CEO Fraud, eller "Insider Spoofing".

Forstå angrepet

Så hvordan fungerer angrepet? For at en angriper skal kunne dra den av, må de vite mye informasjon om selskapet de målretter mot.

Mye av denne informasjonen handler om den hierarkiske strukturen til selskapet eller institusjonen de målretter mot. De trenger å vite det

hvem de vil etterligne seg. Selv om denne typen svindel er kjent som “CEO fraud”, er den i virkeligheten målrettet hvem som helst med en seniorrolle - alle som vil kunne igangsette utbetalinger. De trenger å vite navnet og e-postadressen deres. Det hjelper også å vite planen deres, og når de skal reise, eller på ferie.

administrerende direktør

Til slutt må de vite hvem i organisasjonen som er i stand til å utstede pengeoverføringer, for eksempel en regnskapsfører, eller noen som er ansatt i finansavdelingen.

Mye av denne informasjonen kan fritt finnes på nettstedene til det aktuelle selskapet. Mange mellomstore og små bedrifter har "Om oss" -sider, der de viser sine ansatte, deres roller og ansvar og deres kontaktinformasjon.

Det kan være litt vanskeligere å finne noen tidsplaner. De aller fleste publiserer ikke kalenderen sin på nettet. Imidlertid publiserer mange mennesker bevegelsene sine på sosiale mediesider, som Twitter, Facebook og Swarm (tidligere Foursquare) Foursquare relanserer som funnverktøy basert på smakene dineFoursquare var banebrytende for innsjekking for mobil; en stedsbasert statusoppdatering som fortalte verden nøyaktig hvor du var og hvorfor - så er overgangen til et rent oppdagelsesverktøy et skritt fremover? Les mer . En angriper trenger bare å vente til de har forlatt kontoret, og de kan slå til.

Jeg er på St George's Market - @ stgeorgesbt1 i Belfast, Co. Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17. januar 2016

Når angriperen har hver del av puslespillet han trenger for å utføre angrepet, vil de sende e-post til økonomien ansatt, som påstås å være administrerende direktør, og ber om at de setter i gang en pengeoverføring til en bankkonto de kontroll.

For at den skal fungere, må e-posten se ekte ut. De vil enten bruke en e-postkonto som ser ‘legitim’ ut eller plausibel (for eksempel [email protected]), eller om 'forfalskning' administrerende direktørs ekte e-post. Det er her en e-post sendes med modifiserte overskrifter, så "Fra:" -feltet inneholder administrerende direktørs ekte e-post. Noen motiverte angripere vil prøve å få administrerende direktør til å sende dem e-post, slik at de kan duplisere stylingen og estetikken til e-posten deres.

Angriperen vil håpe at finansansatt blir presset til å sette i gang overføringen uten å sjekke først med den målrettede direktøren. Denne innsatsen lønner seg ofte, med noen selskaper som ubevisst har utbetalt hundretusener av dollar. Ett selskap i Frankrike som var profilert av BBC tapte 100 000 euro. Angriperne prøvde å få 500.000, men alle unntatt en av betalingene ble blokkert av banken, som mistenkte svindel.

Hvordan sosialtekniske angrep fungerer

Tradisjonelle datasikkerhetstrusler har en tendens til å være teknologiske. Som et resultat kan du bruke teknologiske tiltak for å beseire disse angrepene. Hvis du blir smittet med malware, kan du installere et antivirusprogram. Hvis noen har prøvd å hacke webserveren din, kan du ansette noen til å utføre en penetrasjonstest og gi deg råd om hvordan du kan "herde" maskinen mot andre angrep.

Angrep fra sosialteknikk Hva er samfunnsingeniør? [MakeUseOf Explains]Du kan installere bransjens sterkeste og dyreste brannmur. Du kan utdanne ansatte om grunnleggende sikkerhetsprosedyrer og viktigheten av å velge sterke passord. Du kan til og med låse serverrommet - men hvordan ... Les mer - hvorav CEO-svindel er et eksempel på - er mye vanskeligere å avbøte mot, fordi de ikke angriper systemer eller maskinvare. De angriper mennesker. I stedet for å utnytte sårbarheter i kode, drar de nytte av menneskets natur og vårt instinktive biologiske imperativ til å stole på andre mennesker. En av de mest interessante forklaringene på dette angrepet ble gjort på DEFCON-konferansen i 2013.

Noen av de mest kjeftedropende vågale hakkene var et produkt av samfunnsingeniør.

I 2012 befant den tidligere ledede journalisten Mat Honan seg under angrep av en målbevisst kader med nettkriminelle, som var fast bestemt på å avvikle hans online liv. Ved å bruke sosialteknisk taktikk kunne de overbevise Amazon og Apple om å gi dem den informasjonen de trengte for å fjerne en fjern MacBook Air og iPhone, slette e-postkontoen hans og gripe inn den innflytelsesrike Twitter-kontoen hans for å legge ut rasemessige og homofobe skjellsord. Du kan lese den avslappende historien her.

Angrep i sosialteknikken er neppe en ny innovasjon. Hackere har brukt dem i flere tiår for å få tilgang til systemer, bygninger og informasjon i flere tiår. En av de mest beryktede samfunnsingeniørene er Kevin Mitnick, som på midten av 90-tallet tilbrakte år med å gjemme seg for politiet, etter å ha begått en rekke datamaskinforbrytelser. Han ble fengslet i fem år, og fikk forbud mot å bruke en datamaskin til 2003. Når hackere går, var Mitnick så nær du kunne komme til har rockstar status 10 av verdens mest kjente og beste hackere (og deres fascinerende historier)Hvithat-hackere kontra svart-hat-hackere. Her er de beste og mest kjente hackerne i historien, og hva de gjør i dag. Les mer . Da han endelig fikk lov til å bruke Internett, ble det fjernsynet på Leo Laporte Skjermsparerne.

Han ble til slutt legit. Han driver nå sitt eget konsulentfirma for datasikkerhet, og har skrevet en rekke bøker om sosialteknikk og hacking. Den kanskje mest velkjente er “The Art of Deception”. Dette er egentlig en antologi med noveller som ser på hvordan sosialtekniske angrep kan trekkes av, og hvordan beskytt deg mot dem Slik beskytter du deg mot sosiale ingeniørangrepI forrige uke tok vi en titt på noen av de viktigste truslene i sosialteknikken som du, selskapet eller dine ansatte burde se opp for. I et nøtteskall er sosialteknikk lik en ... Les mer , og er tilgjengelig for kjøp hos Amazon.

Hva kan gjøres med administrerende direktørbedrageri?

Så la oss gjøre en oversikt. Vi vet at administrerende direktørbedrageri er forferdelig. Vi vet at det koster mange selskaper mye penger. Vi vet at det er utrolig vanskelig å avbøte, fordi det er et angrep mot mennesker, ikke mot datamaskiner. Det siste som er igjen å dekke er hvordan vi kjemper mot det.

Dette er lettere sagt enn gjort. Hvis du er en ansatt og du har mottatt en mistenkelig betalingsanmodning fra arbeidsgiveren din eller sjefen din, kan det være lurt å sjekke inn hos dem (ved å bruke en annen metode enn e-post) for å se om det var ekte. De kan være litt irriterte over deg for å ha plaget dem, men det vil de sannsynligvis være mer irritert hvis du endte opp med å sende 100.000 dollar av selskapsmidler til en utenlandsk bankkonto.

AnonDollar

Det er teknologiske løsninger som også kan brukes. Microsofts kommende oppdatering til Office 365 vil inneholde noen beskyttelse mot denne typen angrep, ved å sjekke kilden til hver e-post for å se om den kom fra en pålitelig kontakt. Microsoft regner med at de har oppnådd en forbedring på 500% i hvordan Office 365 identifiserer forfalskede eller forfalskede e-poster.

Ikke bli stukket

Den mest pålitelige måten å beskytte mot disse angrepene er å være skeptisk. Når du får en e-post som ber deg om å gjøre en stor pengeoverføring, kan du ringe sjefen din for å se om det er legitimt. Hvis du har noe med IT-avdelingen, kan du vurdere å be dem om det flytt til Office 365 En introduksjon til Office 365: Bør du kjøpe inn i den nye Office-forretningsmodellen?Office 365 er en abonnementsbasert pakke som tilbyr tilgang til den nyeste desktop Office-pakken, Office Online, skylagring og premium mobilapper. Gir Office 365 nok verdi til å være verdt pengene? Les mer , som leder pakken når det gjelder å bekjempe administrerende direktør svindel.

Jeg håper absolutt ikke, men har du noen gang vært offer for en pengemotivert e-post-svindel? I så fall vil jeg høre om det. Slipp være en kommentar nedenfor, og fortell meg hva som gikk ned.

Fotokreditter: AnonDollar (Din Anon), Miguel The Entertainment CEO (Jorge)

Matthew Hughes er programvareutvikler og skribent fra Liverpool, England. Han blir sjelden funnet uten en kopp sterk svart kaffe i hånden og elsker absolutt Macbook Pro og kameraet hans. Du kan lese bloggen hans på http://www.matthewhughes.co.uk og følg ham på twitter på @matthewhughes.