CEO fraud er en type spear phishing-angreb, hvor en hacker efterligner en CEO via e-mail og overtaler et offer til at udføre en transaktion, typisk økonomisk. Et af de dyreste e-mail-angreb, CEO fraud er en form for forretnings-e-mail-kompromis, der kostede amerikanske virksomheder 1,7 milliarder dollars i 2019.
CEO-svindel kan variere fra gavekort-svindel til trådsvindel, hvor millioner af dollars dirigeres til en hackers bankkonto, ofte længe før virksomheden indser, hvad der er gået galt. For at øge deres chancer for succes, hackere anvender en række taktikker, noget af det tekniske, men mest involverer psykologisk manipulation.
anvendelse pres
gavekort svindel er blandt de enkleste at udføre og mest vanskelige at spore. Dette gør dem blandt de mest udbredte spyd phishing-angreb i naturen og en, der tilbyder en øjeblikkelig ROI.
en hacker vil typisk hævde, at de er i et møde og har brug for at købe gavekort til en klient. Tit, hackeren vil hævde, at gavekortene er en overraskelse for medarbejderne, manipulere offeret til at holde anmodningen hemmelig. I offerets sind kan manglende komme igennem resultere i forlegenhed for eller skuffelse fra administrerende direktør. Dette skaber et intenst pres for offeret.
de mest succesfulde business e-mail kompromis angreb har omhyggeligt udformet spyd phishing e-mails. Men hvad der virkelig gør dem vellykkede er identiteten og indflydelsen fra den påståede afsender. Den gennemsnitlige bruger tænker måske to gange på at købe gavekort til John i regnskab, men hvis anmodningen kommer fra administrerende direktør, er offeret mere tilbøjelige til at reagere og hurtigt.
mange ofre for CEO-svindel havde tidligere ringe eller ingen kontakt med administrerende direktør. Det er let at bebrejde ofrene i disse sager og sige, at de burde have vidst bedre. I virkeligheden, det gør offeret mere modtageligt for svig, fordi e-mailen fanger offeret væk. Når den økonomiske anmodning er den første kommunikation nogensinde mellem offer og Administrerende Direktør, offeret vil ikke kun føle sig presset, men et ønske om at behage.
mange ofre er ikke vant til at kommunikere med administrerende direktør. De er ikke bekendt med administrerende direktørs kommunikationsstil og vaner—hvad administrerende direktør ville eller ikke ville sige eller gøre. Den virkelige administrerende direktør deltager måske aldrig i en sådan samtale eller fremsætter en sådan anmodning, men offeret ved det ikke, Og det giver hackeren en fordel.
en fælles taktik inden for social engineering, påskud åbner en kommunikationslinje mellem hackeren og offeret, hvilket letter offeret i anmodningen. Det giver også hackeren mulighed for at sætte forventninger (fortæl ikke nogen om dette; det er en overraskelse) og fungerer som efterretningsindsamling og giver hackeren yderligere oplysninger, der kan hjælpe dem med at få succes.
i nogle tilfælde af CEO-svindel vil en hacker e-maile offeret flere gange, der fører op til den ultimative anmodning, kontrollere deres fremskridt, sikre, at ingen andre er opmærksomme på transaktionen og anvende mere pres, indtil transaktionen er afsluttet.
afsendelse af e-mails fra mobile enheder
administrerende direktører er travle mennesker. Det er ikke usædvanligt at modtage en e-mail fra en direktør, der er ude af kontoret, ved et arrangement, besøger med en klient, eller endda ud af landet. Afsendelse af spear phishing-e-mails via en mobilenhed hjælper hackeren med at skabe indtryk af, at administrerende direktør er væk fra deres kontor. Dette gavner hackeren på flere måder.
for det første hjælper det hackeren med at skabe illusionen om, at administrerende direktør er ude af deres element, muligvis uden deres bærbare computer, og har brug for hjælp. For det andet giver det hackeren plads til at lave fejl med hensyn til e—mailen-grammatik og stavefejl er almindelige og tilgivelige (til en vis grad) på mobile enheder.
endelig øger det chancerne for, at den falske e-mail overses. Hvis hackeren spoofer CEOs-navnet, men ikke virksomhedsdomænet, er det rimeligt for offeret at tro, at administrerende direktør begik en fejl og sendte e-mailen via en personlig konto.
dybe forfalskninger
relativt nyt inden for kompromis med forretnings-e-mail, dybe forfalskninger har vist sig at være både meget effektive og ekstremt dyre. Endnu bedre (for hackeren) er der en række kunstige intelligensbaserede værktøjer på markedet, som en hacker kan bruge til at efterligne en administrerende direktørs stemme.
i 2019 modtog en administrerende direktør for et britisk energiselskab et opkald fra administrerende direktør for selskabets tyske moderselskab—kun det var ikke hans administrerende direktør. Det var en hacker, der brugte dybe falske programmer, der efterlignede den administrerende direktørs stemme i Tyskland og anmodede om en bankoverførsel til en leverandør. Resultatet var en $ 243.000 betaling til hackeren, som snart ringede tilbage og bad om mere, hvilket tippede administrerende direktør.
dybe falske programmer er rigelige, effektive og billige, og virksomheder har ikke noget svar på det. Ifølge computer ugentligt er 77 procent af beslutningstagerne inden for cybersikkerhed bekymrede over dybe forfalskninger, men kun 28 procent har en plan om at forsvare sig mod det.
forebyggelse af CEO-svindel
Anti-spear phishing-teknologi er kommet langt, men den psykologiske karakter af CEO-svig kræver en kombination af forebyggende foranstaltninger:
brugeruddannelse: Træn dine brugere til at identificere forskellige typer forretnings-e-mail-kompromis såvel som socialtekniske teknikker. Gå ud over periodisk træning og giv træning on-the-fly—når brugere åbner eller reagerer på ondsindede e-mails.
Valideringsprocesser: implementere en proces til validering af anmodninger om finansielle transaktioner. Eksempler inkluderer validering af anmodninger personligt eller over telefonen efter modtagelse af en økonomisk anmodning via e-mail.
teknologi: Opgrader din anti-spear phishing-løsning til en løsning, der går ud over DMARC og traditionel detektion. Løsningen skal være i stand til at identificere svær at opdage spoofing teknikker, der undgår DMARC, herunder fætter domæner og display navn spoofing.
uanset om du kalder det spear phishing, CEO-svindel eller kompromis med forretnings-e-mail, viser alle målrettede e-mail-angreb lignende egenskaber, adfærd og endda sprog. Det er her kunstig intelligens (AI) udmærker sig ved detektion.
søgning efter anomalier i e-mail-trafik og ondsindet adfærd i e-mails kan AI-algoritmer registrere, hvilke statistiske eller fingeraftryksløsninger der går glip af. Vade Secure bruger to maskinindlæringsteknikker til at opdage spear phishing og CEO-svindel:
- anomali Detection: identificerer outliers eller adfærd ualmindeligt i et datasæt—i dette tilfælde en organisations e-mail-trafik. Det lærer over tid, hvad der er og ikke er typisk sende/modtage adfærd i organisationen og identificerer anomalier, herunder fætter domæner og display navn spoofing.
- Naturlig Sprogbehandling: Registrerer de almindelige ord og sætninger, der bruges i CEO-svindel og spear phishing, især sprog, der indikerer haster eller er relateret til finansielle transaktioner.
vade Secure for Microsoft 365 advarer brugerne om mulige spear phishing-forsøg med et advarselsbanner, der udløser, når den mistænkelige e-mail åbnes. Dette giver den pause, der er nødvendig for brugeren at overveje de mulige advarselsskilte, de ellers måske har savnet. Derudover, hvis e-mailen indeholder uregelmæssigheder, men er en legitim besked, e-mailen vil ikke blive misklassificeret og blokeret, at sikre, at vigtig virksomhedskommunikation leveres med succes.