oszustwo CEO to rodzaj ataku typu spear phishing, w którym haker podszywa się pod CEO za pośrednictwem poczty e-mail i przekonuje ofiarę do przeprowadzenia transakcji, zazwyczaj finansowej. Jednym z najbardziej kosztownych ataków e-mail, oszustwo CEO jest formą kompromisu w zakresie e-maili biznesowych, który w 2019 r.kosztował amerykańskie firmy 1,7 mld USD.
oszustwa CEO mogą wahać się od oszustw kart podarunkowych do oszustw kablowych, z milionami dolarów są kierowane na konto bankowe hakera, często na długo przed tym, zanim firma zorientuje się, co poszło nie tak. Aby zwiększyć swoje szanse na sukces, hakerzy stosują szereg taktyk, niektóre z nich techniczne, ale głównie obejmujące manipulację psychologiczną.
naciskanie
oszustwa z kartami podarunkowymi należą do najprostszych do wykonania i najtrudniejszych do wyśledzenia. To sprawia, że są to jedne z najbardziej rozpowszechnionych ataków phishingowych na wolności i takie, które oferują natychmiastowy zwrot z inwestycji.
udając prezesa, haker zazwyczaj twierdzi, że jest na spotkaniu i pilnie musi kupić karty podarunkowe dla klienta. Często haker twierdzi, że karty podarunkowe są niespodzianką dla pracowników, manipulując ofiarą, aby utrzymać prośbę w tajemnicy. W umyśle ofiary, nie Przejście może skutkować zakłopotaniem lub rozczarowaniem ze strony prezesa. Powoduje to silną presję na ofiarę.
najbardziej udane ataki na biznesową pocztę e – mail zawierają starannie wykonane wiadomości phishingowe. Ale to, co naprawdę czyni je skutecznymi, to tożsamość i wpływ rzekomego nadawcy. Przeciętny użytkownik może pomyśleć dwa razy o zakupie kart podarunkowych dla Johna w księgowości, ale jeśli wniosek pochodzi od dyrektora generalnego, ofiara jest bardziej skłonna odpowiedzieć i szybko.
wiele ofiar oszustw CEO miało wcześniej niewielki lub żaden kontakt z CEO. Łatwo jest obwiniać ofiary w takich przypadkach i mówić, że powinny wiedzieć lepiej. W rzeczywistości sprawia, że ofiara jest bardziej podatna na oszustwo, ponieważ e-mail zaskoczy ofiarę. Gdy wniosek finansowy jest pierwszym w historii komunikacji między ofiarą i CEO, ofiara będzie czuć nie tylko czuć presję, ale pragnienie, aby zadowolić.
preteksty i socjotechnika
wiele ofiar nie jest przyzwyczajonych do komunikowania się z prezesem. Nie są zaznajomieni ze stylem komunikacji i nawykami dyrektora generalnego – co powiedziałby lub nie powiedziałby lub zrobił. Prawdziwy prezes może nigdy nie angażować się w taką rozmowę lub złożyć taką prośbę, ale ofiara o tym nie wie, a to daje hakerowi przewagę.
powszechna taktyka w inżynierii społecznej, pretekst otwiera linię komunikacji między hakerem a ofiarą, ułatwiając ofiarę w żądaniu. Pozwala również hakerowi ustawić oczekiwania (nie mów nikomu o tym; to niespodzianka) i służy jako gromadzenie informacji, dostarczając hakerowi dodatkowych informacji, które mogą pomóc im odnieść sukces.
w niektórych przypadkach oszustwa CEO haker wielokrotnie wysyła do ofiary wiadomość e-mail, sprawdzając ich postępy, upewniając się, że nikt inny nie jest świadomy transakcji i wywierając większą presję, dopóki transakcja nie zostanie zakończona.
wysyłanie maili z urządzeń mobilnych
prezesi to zajęci ludzie. Nie jest niczym niezwykłym, aby otrzymać e-mail od kierownika, który jest poza biurem, na imprezie, wizyty z Klientem, a nawet poza krajem. Wysyłanie e-maili typu spear phishing za pośrednictwem urządzenia mobilnego pomaga hakerowi stworzyć wrażenie, że prezes jest z dala od biura. Przynosi to korzyści hakerowi na kilka sposobów.
po pierwsze, pomaga hakerowi stworzyć iluzję, że prezes jest poza ich żywiołem, prawdopodobnie bez laptopa i potrzebuje pomocy. Po drugie, daje hakerowi pole do popełniania błędów w odniesieniu do poczty e-mail – błędy gramatyczne i ortograficzne są powszechne i do pewnego stopnia wybaczalne na urządzeniach mobilnych.
wreszcie zwiększa szanse na przeoczenie fałszywego e-maila. Jeśli haker fałszuje nazwę prezesa, ale nie domenę korporacyjną, rozsądne jest, aby ofiara uwierzyła, że prezes popełnił błąd i wysłał wiadomość e-mail za pośrednictwem konta osobistego.
Deep fakes
stosunkowo nowa w sferze biznesowych kompromisów e-mail, deep fakes okazały się zarówno bardzo skuteczne, jak i niezwykle kosztowne. Co więcej (dla hakera) na rynku dostępnych jest wiele narzędzi opartych na sztucznej inteligencji, których haker może użyć do naśladowania głosu CEO.
według Wall Street Journal, w 2019 r. dyrektor generalny brytyjskiej firmy energetycznej otrzymał telefon od dyrektora naczelnego niemieckiej spółki dominującej-tyle, że nie był to jego dyrektor naczelny. To był haker używający fałszywego oprogramowania, naśladujący głos Dyrektora Naczelnego w Niemczech i żądający zapłaty przelewem do dostawcy. W rezultacie haker zapłacił 243 000 dolarów, który wkrótce oddzwonił z prośbą o więcej, co ostrzegło prezesa.
Deep fake software jest obfite, skuteczne i tanie, a firmy nie mają na to odpowiedzi. Według Computer Weekly, 77 procent decydentów w dziedzinie cyberbezpieczeństwa jest zaniepokojonych głębokimi podróbkami, ale tylko 28 procent ma plan obrony przed nimi.
zapobieganie oszustwom CEO
technologia Anti-spear phishing przeszła długą drogę, ale psychologiczny charakter oszustw CEO wymaga kombinacji środków zapobiegawczych:
szkolenie użytkowników: trenuj użytkowników, aby identyfikować różne rodzaje kompromisów biznesowych e-mail, a także techniki inżynierii społecznej. Wykracza poza okresowe szkolenia i zapewnia szkolenia w locie-gdy użytkownicy otwierają złośliwe wiadomości e-mail lub odpowiadają na nie.
procesy walidacji: wdrożenie procesu walidacji wniosków o transakcje finansowe. Przykłady obejmują walidację wniosków osobiście lub telefonicznie po otrzymaniu wniosku finansowego za pośrednictwem poczty elektronicznej.
Technologia: Zaktualizuj swoje rozwiązanie anti-spear phishing do rozwiązania, które wykracza poza DMARC i tradycyjne wykrywanie. Rozwiązanie powinno być w stanie zidentyfikować trudne do wykrycia techniki spoofingu, które unikają DMARC, w tym domeny kuzynów i spoofing nazw wyświetlanych.
niezależnie od tego, czy nazwiesz to wyłudzaniem informacji, oszustwem CEO, czy naruszeniem biznesowej poczty e-mail, wszystkie ukierunkowane ataki e-mail mają podobne cechy, zachowania, a nawet język. W tym miejscu sztuczna inteligencja (AI) przoduje w wykrywaniu.
szukając anomalii w ruchu e-mailowym i złośliwych zachowań w wiadomościach e-mail, algorytmy AI mogą wykryć, czego brakuje w rozwiązaniach statystycznych lub odcisków palców. Vade Secure wykorzystuje dwie techniki uczenia maszynowego do wykrywania oszustw typu spear phishing i CEO:
- wykrywanie anomalii: identyfikuje wartości odstające lub zachowania rzadkie w zbiorze danych-w tym przypadku ruch e-mail organizacji. Z czasem uczy się, co jest, a co nie jest typowym zachowaniem wysyłania/odbierania w organizacji i identyfikuje anomalie, w tym domeny kuzynów i spoofing nazw wyświetlanych.
- Przetwarzanie Języka Naturalnego: Wykrywa typowe słowa i zwroty używane w oszustwach CEO i spear phishing, w szczególności język, który wskazuje na pilność lub jest związany z transakcjami finansowymi.
Vade Secure for Microsoft 365 ostrzega użytkowników o możliwych próbach wyłudzania informacji za pomocą banera ostrzegawczego, który uruchamia się po otwarciu podejrzanej wiadomości e-mail. Zapewnia to przerwę niezbędną użytkownikowi do rozważenia możliwych znaków ostrzegawczych, które mógłby przegapić. Ponadto, jeśli wiadomość e-mail zawiera anomalie, ale jest uzasadnioną wiadomością, wiadomość e-mail nie zostanie błędnie sklasyfikowana i zablokowana, zapewniając pomyślne dostarczenie ważnej komunikacji korporacyjnej.