CEO fraud è un tipo di attacco spear phishing in cui un hacker impersona un CEO via e-mail e persuade una vittima per eseguire una transazione, tipicamente finanziaria. Uno degli attacchi e-mail più costosi, CEO fraud è una forma di compromesso e-mail aziendale, che è costato alle aziende statunitensi billion 1.7 miliardi in 2019.
CEO frode può variare da truffe carta regalo per frode filo, con milioni di dollari di essere instradati al conto bancario di un hacker, spesso molto prima che il business si rende conto che cosa è andato storto. Per aumentare le loro possibilità di successo, gli hacker impiegano una serie di tattiche, alcune delle quali tecniche ma che coinvolgono soprattutto la manipolazione psicologica.
Pressione
Le truffe con carte regalo sono tra le più semplici da eseguire e più difficili da rintracciare. Questo li rende tra gli attacchi di spear phishing più diffusi in natura e uno che offre un ROI immediato.
In posa come un CEO, un hacker in genere sostengono che sono in una riunione e urgente bisogno di acquistare carte regalo per un cliente. Spesso, l’hacker rivendicherà le carte regalo sono una sorpresa per i dipendenti, manipolando la vittima a mantenere la richiesta un segreto. Nella mente della vittima, non riuscendo a venire attraverso potrebbe provocare imbarazzo o delusione da parte del CEO. Questo crea un’intensa pressione per la vittima.
Gli attacchi di compromesso e-mail aziendali di maggior successo presentano e-mail di spear phishing accuratamente create. Ma ciò che li rende davvero di successo è l’identità e l’influenza del presunto mittente. L’utente medio potrebbe pensare due volte prima di acquistare carte regalo per John in contabilità, ma se la richiesta viene dal CEO, la vittima è più propensi a rispondere e rapidamente.
Molte vittime di frode CEO in precedenza aveva poco o nessun contatto con il CEO. È facile incolpare le vittime in questi casi e dire che avrebbero dovuto saperlo meglio. In realtà, rende la vittima più suscettibile alla frode perché l’e-mail cattura la vittima alla sprovvista. Quando la richiesta finanziaria è la prima comunicazione mai tra vittima e CEO, la vittima si sentirà non solo sentire la pressione, ma il desiderio di compiacere.
Molte vittime non sono abituate a comunicare con il CEO. Non hanno familiarità con lo stile e le abitudini di comunicazione del CEO—ciò che il CEO avrebbe o non avrebbe detto o fatto. Il vero CEO potrebbe non impegnarsi mai in una conversazione del genere o fare una richiesta del genere, ma la vittima non lo sa, e dà all’hacker un vantaggio.
Una tattica comune in ingegneria sociale, pretexting apre una linea di comunicazione tra l’hacker e la vittima, facilitando la vittima nella richiesta. Consente inoltre all’hacker di impostare le aspettative (non dirlo a nessuno, è una sorpresa) e serve come raccolta di informazioni, fornendo all’hacker informazioni aggiuntive che potrebbero aiutarli ad avere successo.
In alcuni casi di frode CEO, un hacker invierà una e-mail alla vittima più volte fino alla richiesta finale, controllando i loro progressi, assicurando che nessun altro sia a conoscenza della transazione e applicando più pressione fino a quando la transazione non è stata completata.
Invio di e-mail da dispositivi mobili
I CEO sono persone impegnate. Non è insolito ricevere un’e-mail da un dirigente che è fuori ufficio, in occasione di un evento, in visita con un cliente o anche fuori dal paese. L’invio di e-mail di spear phishing tramite un dispositivo mobile aiuta l’hacker a creare l’impressione che il CEO sia lontano dal proprio ufficio. Questo avvantaggia l’hacker in diversi modi.
In primo luogo, aiuta l’hacker a creare l’illusione che il CEO è fuori del loro elemento, possibilmente senza il loro computer portatile, e ha bisogno di assistenza. In secondo luogo, dà all’hacker spazio di manovra per commettere errori rispetto all’e—mail: gli errori di grammatica e ortografia sono comuni e perdonabili (in una certa misura) sui dispositivi mobili.
Infine, aumenta le possibilità che l’e-mail contraffatta venga trascurata. Se l’hacker falsifica il nome CEO ma non il dominio aziendale, è ragionevole che la vittima creda che il CEO abbia commesso un errore e abbia inviato l’e-mail tramite un account personale.
Deep fakes
Relativamente nuovo per il regno del compromesso e-mail aziendale, deep fakes hanno dimostrato di essere sia altamente efficace ed estremamente costoso. Meglio ancora (per l’hacker), ci sono una varietà di strumenti basati sull’intelligenza artificiale sul mercato che un hacker può utilizzare per imitare la voce di un CEO.
Secondo il Wall Street Journal, in 2019, un CEO di una società energetica britannica ha ricevuto una chiamata dall’amministratore delegato della società madre tedesca—solo che non era il suo amministratore delegato. Era un hacker che usava un software falso profondo, imitando la voce dell’amministratore delegato in Germania e richiedendo un pagamento con bonifico bancario a un fornitore. Il risultato è stato un pagamento di $243.000 all’hacker, che presto ha richiamato chiedendo di più, il che ha fatto pendere l’amministratore delegato.
Il software Deep fake è abbondante, efficace ed economico e le aziende non hanno alcuna risposta per questo. Secondo Computer Weekly, il 77 per cento dei decisori di sicurezza informatica sono preoccupati per falsi profondi, ma solo il 28 per cento ha un piano per difendersi contro di essa.
Prevenire le frodi CEO
La tecnologia anti-spear phishing ha percorso una lunga strada, ma la natura psicologica delle frodi CEO richiede una combinazione di misure preventive:
Formazione degli utenti: addestrare gli utenti a identificare diversi tipi di compromesso e-mail aziendale, così come le tecniche di ingegneria sociale. Andare oltre la formazione periodica e fornire formazione on—the-fly-quando gli utenti aprono o rispondono a messaggi di posta elettronica dannosi.
Processi di convalida: implementare un processo per la convalida delle richieste di transazioni finanziarie. Gli esempi includono la convalida delle richieste di persona o per telefono dopo aver ricevuto una richiesta finanziaria via e-mail.
Tecnologia: aggiorna la tua soluzione anti-spear phishing a una soluzione che va oltre il DMARC e il rilevamento tradizionale. La soluzione dovrebbe essere in grado di identificare tecniche di spoofing difficili da rilevare che eludono DMARC, inclusi i domini cugini e lo spoofing del nome visualizzato.
Che tu lo chiami spear phishing, CEO fraud o business email compromise, tutti gli attacchi e-mail mirati mostrano caratteristiche, comportamenti e persino linguaggio simili. Ecco dove l’intelligenza artificiale (AI) eccelle nel rilevamento.
Alla ricerca di anomalie nel traffico e-mail e comportamenti dannosi nelle e-mail, gli algoritmi AI possono rilevare quali soluzioni statistiche o di impronte digitali mancano. Vade Secure utilizza due tecniche di apprendimento automatico per rilevare spear phishing e frodi CEO:
- Rilevamento delle anomalie: identifica valori anomali o comportamenti non comuni in un set di dati, in questo caso il traffico e—mail di un’organizzazione. Impara nel tempo ciò che è e non è tipico comportamento di invio / ricezione nell’organizzazione e identifica le anomalie, inclusi i domini cugini e lo spoofing del nome visualizzato.
- Elaborazione del linguaggio naturale: Rileva le parole e le frasi comuni utilizzate nella frode CEO e spear phishing, in particolare il linguaggio che indica l’urgenza o è legato alle transazioni finanziarie.
Vade Secure per Microsoft 365 avvisa gli utenti di possibili tentativi di spear phishing con un banner di avviso che si attiva quando viene aperta l’e-mail sospetta. Questo fornisce la pausa necessaria per l’utente di prendere in considerazione i possibili segnali di pericolo che altrimenti avrebbero potuto perdere. Inoltre, se l’e-mail contiene anomalie ma è un messaggio legittimo, l’e-mail non verrà classificata e bloccata in modo errato, assicurando che le comunicazioni aziendali importanti vengano consegnate correttamente.