CEO fraud je typ spear phishingového útoku, ve kterém se hacker vydává za generálního ředitele e-mailem a přesvědčí oběť k provedení transakce, obvykle finanční. Jeden z nejnákladnějších e-mailových útoků, CEO fraud, je forma kompromisu obchodních e-mailů, který v roce 2019 stál americké podniky 1.7 miliard USD.
CEO fraud se může pohybovat od podvodů s dárkovými kartami až po drátové podvody, přičemž miliony dolarů jsou směrovány na bankovní účet hackera, často dlouho předtím, než si podnik uvědomí, co se pokazilo. Aby hackeři zvýšili své šance na úspěch, používají řadu taktik, z nichž některé jsou technické, ale většinou zahrnují psychologickou manipulaci.
působící tlak
podvody s dárkovými kartami patří mezi nejjednodušší a nejobtížnější. Díky tomu patří mezi nejrozšířenější phishingové útoky ve volné přírodě a ty, které nabízejí okamžitou návratnost investic.
hacker, který vystupuje jako generální ředitel, obvykle tvrdí, že je na schůzce a naléhavě potřebuje koupit dárkové karty pro klienta. Často, hacker bude tvrdit, že dárkové karty jsou pro zaměstnance překvapením, manipulace s obětí, aby udržovala žádost v tajnosti. V mysli oběti, neschopnost projít by mohla mít za následek rozpaky nebo zklamání ze strany generálního ředitele. To vytváří intenzivní tlak na oběť.
nejúspěšnější obchodní e-mailové kompromisní útoky obsahují pečlivě vytvořené phishingové e-maily. Ale to, co je skutečně dělá úspěšnými, je identita a vliv domnělého odesílatele. Průměrný uživatel si může dvakrát rozmyslet nákup dárkových karet pro Johna v účetnictví, ale pokud žádost pochází od generálního ředitele, oběť pravděpodobně odpoví a rychle.
mnoho obětí podvodů s generálním ředitelem mělo dříve malý nebo žádný kontakt s generálním ředitelem. V těchto případech je snadné vinit oběti a říci, že to měli vědět lépe. V realitě, to dělá oběť náchylnější k podvodu, protože e-mail chytí oběť nepřipravenou. Když je finanční žádost vůbec první komunikací mezi obětí a generálním ředitelem, oběť bude cítit nejen tlak, ale i touhu potěšit.
mnoho obětí není zvyklých komunikovat s generálním ředitelem. Nejsou obeznámeni s komunikačním stylem a zvyky generálního ředitele-co by generální ředitel řekl nebo neudělal. Skutečný generální ředitel by se nikdy nemohl zapojit do takové konverzace nebo podat takovou žádost, ale oběť to neví, a to dává hackerovi výhodu.
běžná taktika v sociálním inženýrství, záminka otevírá komunikační linii mezi hackerem a obětí a usnadňuje oběť žádosti. Umožňuje také hackerovi stanovit očekávání (nikomu o tom neříkej; je to překvapení) a slouží jako shromažďování zpravodajských informací a poskytuje hackerovi další informace, které by jim mohly pomoci uspět.
v některých případech podvodu generálního ředitele hacker pošle oběti e-mail několikrát, což povede k konečnému požadavku, zkontroluje jejich pokrok, zajistí, že nikdo jiný o transakci neví, a vyvíjí větší tlak, dokud nebude transakce dokončena.
odesílání e-mailů z mobilních zařízení
generální ředitelé jsou zaneprázdnění lidé. Není neobvyklé dostávat e-mail od výkonného ředitele, který je mimo kancelář, na akci, na návštěvě u klienta nebo dokonce mimo zemi. Odesílání e-mailů s phishingem spear prostřednictvím mobilního zařízení pomáhá hackerovi vytvořit dojem, že generální ředitel je mimo svou kancelář. To prospívá hackerovi několika způsoby.
nejprve pomáhá hackerovi vytvořit iluzi, že generální ředitel je mimo svůj prvek, možná bez notebooku, a potřebuje pomoc. Za druhé, dává hackerovi kroutit prostor k chybám s ohledem na e—mail-gramatické a pravopisné chyby jsou běžné a odpuštěné (do určité míry) na mobilních zařízeních.
nakonec to zvyšuje šance na přehlédnutí falešného e-mailu. Pokud hacker zfalšuje jméno generálního ředitele, ale ne firemní doménu, je rozumné, aby oběť věřila, že generální ředitel udělal chybu a poslal e-mail prostřednictvím Osobního účtu.
hluboké padělky
relativně nové v oblasti kompromisu obchodních e-mailů se hluboké padělky ukázaly jako vysoce účinné a extrémně nákladné. Ještě lépe (pro hackera) existuje na trhu řada nástrojů založených na umělé inteligenci, které může hacker použít k napodobení hlasu generálního ředitele.
podle Wall Street Journal obdržel v roce 2019 generální ředitel britské energetické společnosti výzvu od generálního ředitele německé mateřské společnosti-pouze to nebyl jeho generální ředitel. Byl to hacker, který používal hluboký falešný software, napodoboval hlas generálního ředitele v Německu a požadoval platbu bankovním převodem dodavateli. Výsledkem byla platba 243 000 dolarů hackerovi, který brzy zavolal zpět a požádal o další, což generálního ředitele upozornilo.
Deep fake software je bohatý, efektivní a levný a podniky na něj nemají odpověď. Podle týdeníku Computer se 77 procent osob s rozhodovací pravomocí v oblasti kybernetické bezpečnosti obává hlubokých padělků, ale pouze 28 procent má plán, jak se proti němu bránit.
prevence podvodů CEO
Anti-spear phishingová technologie prošla dlouhou cestou, ale psychologická povaha podvodů CEO vyžaduje kombinaci preventivních opatření:
školení uživatelů: Trénujte své uživatele k identifikaci různých typů kompromisů obchodních e-mailů a technik sociálního inženýrství. Jděte nad rámec pravidelného školení a poskytujte školení za běhu – když uživatelé otevírají nebo reagují na škodlivé e-maily.
validační procesy: implementujte proces ověřování požadavků na finanční transakce. Příklady zahrnují ověření žádostí osobně nebo telefonicky po obdržení finanční žádosti e-mailem.
technologie: upgradujte své anti-spear phishingové řešení na řešení, které přesahuje DMARC a tradiční detekci. Řešení by mělo být schopno identifikovat těžko detekovatelné techniky spoofingu, které se vyhýbají DMARC, včetně domén bratranců a spoofingu zobrazovaných jmen.
ať už tomu říkáte spear phishing, podvod CEO nebo kompromis obchodního e-mailu, všechny cílené e-mailové útoky vykazují podobné vlastnosti, chování a dokonce i jazyk. To je místo, kde umělá inteligence (AI) vyniká v detekci.
při hledání anomálií v e-mailovém provozu a škodlivého chování v e-mailech mohou algoritmy AI zjistit, jaká statistická řešení nebo řešení otisků prstů chybí. Vade Secure používá dvě techniky strojového učení k detekci podvodů spear phishing a CEO:
- detekce anomálií: identifikuje odlehlé hodnoty nebo chování neobvyklé v datové sadě-v tomto případě e-mailový provoz organizace. Časem se dozví, co je a není typické chování odesílání/přijímání v organizaci, a identifikuje anomálie, včetně domén bratranců a spoofingu zobrazovaných jmen.
- Zpracování Přirozeného Jazyka: Detekuje běžná slova a fráze používané v podvodech CEO a spear phishing, zejména jazyk, který označuje naléhavost nebo souvisí s finančními transakcemi.
Vade Secure for Microsoft 365 upozorňuje uživatele na možné pokusy o phishing pomocí varovného banneru, který se spustí při otevření podezřelého e-mailu. To poskytuje pauzu nezbytnou pro uživatele, aby zvážil možné varovné signály, které by jinak mohly chybět. Navíc, pokud e-mail obsahuje anomálie, ale je legitimní zprávou, e-mail nebude nesprávně klasifikován a blokován, což zajistí úspěšné doručení důležité firemní komunikace.