CEO fraude is een soort spear phishing-aanval waarbij een hacker imiteert een CEO via e-mail en overtuigt een slachtoffer om een transactie uit te voeren, meestal financiële. Een van de duurste e-mailaanvallen, CEO fraude is een vorm van zakelijke e-mail compromis, die Amerikaanse bedrijven kostte $1,7 miljard in 2019.
CEO fraude kan variëren van gift card oplichting tot draad fraude, met miljoenen dollars worden gerouteerd naar de bankrekening van een hacker, vaak lang voordat het bedrijf beseft wat er mis is gegaan. Om hun kansen op succes te vergroten, gebruiken hackers een aantal tactieken, een deel van het technische, maar meestal met psychologische manipulatie.
druk uitoefenen
oplichting met cadeaubonnen is een van de eenvoudigste en moeilijkst te traceren. Dit maakt hen een van de meest voorkomende spear phishing-aanvallen in het wild en een die een onmiddellijke ROI biedt.
een hacker die zich voordoet als CEO, zal doorgaans beweren dat hij in een vergadering is en dringend cadeaubonnen moet kopen voor een klant. Vaak, de hacker zal beweren dat de cadeaubonnen zijn een verrassing voor werknemers, het manipuleren van het slachtoffer in het houden van het verzoek een geheim. In de geest van het slachtoffer, niet door te komen kan resulteren in verlegenheid voor of teleurstelling van de CEO. Dit creëert intense druk voor het slachtoffer.
de meest succesvolle zakelijke e-mail compromis aanvallen zijn voorzien van zorgvuldig vervaardigde spear phishing e-mails. Maar wat hen echt succesvol maakt is de identiteit en invloed van de vermeende afzender. De gemiddelde gebruiker zou twee keer na te denken over de aankoop van cadeaubonnen voor John in de boekhouding, maar als het verzoek komt van de CEO, het slachtoffer is meer kans om te reageren en snel.
veel slachtoffers van CEO-fraude hadden voorheen weinig tot geen contact met de CEO. Het is makkelijk om de slachtoffers de schuld te geven en te zeggen dat ze beter hadden moeten weten. In werkelijkheid, het maakt het slachtoffer meer vatbaar voor de fraude, omdat de e-mail vangt het slachtoffer off guard. Wanneer de financiële aanvraag is de eerste ooit communicatie tussen slachtoffer en CEO, het slachtoffer zal voelen niet alleen voelen druk, maar een verlangen om te behagen.
veel slachtoffers zijn niet gewend om met de CEO te communiceren. Ze zijn niet bekend met de communicatiestijl en gewoonten van de CEO—wat de CEO wel of niet zou zeggen of doen. De echte CEO zou nooit deelnemen aan een dergelijk gesprek of een dergelijk verzoek, maar het slachtoffer weet dat niet, en het geeft de hacker een voordeel.
een veelgebruikte tactiek in social engineering, pretexten opent een lijn van communicatie tussen de hacker en het slachtoffer, het vergemakkelijken van het slachtoffer in het verzoek. Het maakt het ook mogelijk de hacker om verwachtingen te stellen (vertel niemand hierover; Het is een verrassing) en dient als het verzamelen van inlichtingen, het verstrekken van de hacker met extra informatie die hen zou kunnen helpen slagen.
in sommige gevallen van CEO-fraude zal een hacker het slachtoffer meerdere keren per e-mail mailen voorafgaand aan het uiteindelijke verzoek, om de voortgang te controleren, ervoor te zorgen dat niemand anders op de hoogte is van de transactie, en om meer druk uit te oefenen totdat de transactie is voltooid.
e-mails versturen vanaf mobiele apparaten
CEO ‘ s zijn drukke mensen. Het is niet ongebruikelijk om een e-mail te ontvangen van een leidinggevende die niet op kantoor is, op een evenement, een bezoek aan een klant, of zelfs het land uit. Het verzenden van spear phishing e-mails via een mobiel apparaat helpt de hacker de indruk dat de CEO is weg van hun kantoor te creëren. Dit komt de hacker op verschillende manieren ten goede.
Ten eerste helpt het de hacker de illusie te creëren dat de CEO uit zijn element is, mogelijk zonder zijn laptop, en hulp nodig heeft. Ten tweede, het geeft de hacker speelruimte om fouten te maken met betrekking tot de e—mail-grammatica en spelfouten zijn gebruikelijk en vergeeflijk (tot op zekere hoogte) op mobiele apparaten.
ten slotte vergroot het de kans dat de vervalste e-mail over het hoofd wordt gezien. Als de hacker spoofs de CEO naam, maar niet het corporate domein, Het is redelijk voor het slachtoffer om te geloven dat de CEO een fout gemaakt en stuurde de e-mail via een persoonlijke account.
Deep fakes
relatief nieuw op het gebied van zakelijke e-mail compromis, deep fakes hebben bewezen zeer effectief en zeer kostbaar. Beter nog (voor de hacker), er zijn een verscheidenheid van kunstmatige intelligentie gebaseerde tools op de markt die een hacker kan gebruiken om de stem van een CEO na te bootsen.
volgens de Wall Street Journal ontving een CEO van een Britse energiemaatschappij in 2019 een oproep van de chief executive van het Duitse moederbedrijf van het bedrijf—alleen was het niet zijn chief executive. Het was een hacker met behulp van diepe nep-software, het nabootsen van de stem van de chief executive in Duitsland en het aanvragen van een Bankoverschrijving betaling aan een leverancier. Het resultaat was een betaling van $243.000 aan de hacker, die al snel terugbelde om meer te vragen, wat de CEO tipte.
Deep fake software is overvloedig, effectief en goedkoop, en bedrijven hebben er geen antwoord op. Volgens Computer Weekly, 77 procent van de cybersecurity besluitvormers zijn bezorgd over deep fakes, maar slechts 28 procent hebben een plan om te verdedigen tegen het.
voorkomen van CEO-fraude
Anti-spear phishing-technologie heeft een lange weg afgelegd, maar de psychologische aard van CEO-fraude vereist een combinatie van preventieve maatregelen:
User Training: Train uw gebruikers om verschillende soorten zakelijke e-mailcompromis te identificeren, evenals social engineering-technieken. Ga verder dan periodieke training en geef on-the-fly training—wanneer gebruikers kwaadaardige e-mails openen of erop reageren.
validatieprocessen: implementeer een proces voor het valideren van aanvragen voor financiële transacties. Voorbeelden hiervan zijn het valideren van aanvragen in persoon of via de telefoon na ontvangst van een financieel verzoek via e-mail.
technologie: Upgrade uw anti-spear phishing-oplossing naar een oplossing die verder gaat dan DMARC en traditionele detectie. De oplossing moet in staat zijn om moeilijk te detecteren spoofing technieken die DMARC ontwijken identificeren, met inbegrip van neef domeinen en display naam spoofing.
of u het nu spear phishing, CEO fraude of zakelijke e-mail compromis noemt, alle gerichte e-mail aanvallen vertonen dezelfde kenmerken, gedrag, en zelfs taal. Daar blinkt kunstmatige intelligentie (AI) uit in detectie.
op zoek naar afwijkingen in e-mailverkeer en kwaadaardig gedrag in e-mails, kunnen AI-algoritmen detecteren welke statistische of vingerafdrukoplossingen missen. Vade Secure gebruikt twee machine learning technieken om spear phishing en CEO fraude te detecteren:
- anomalie detectie: identificeert uitschieters of gedrag ongewoon in een dataset-in dit geval, e-mailverkeer van een organisatie. Het leert na verloop van tijd Wat is en is niet typisch verzenden/ontvangen gedrag in de organisatie en identificeert anomalieën, met inbegrip van neef domeinen en display naam spoofing.
- Verwerking In Natuurlijke Taal: Detecteert de gemeenschappelijke woorden en zinnen die worden gebruikt in CEO fraude en spear phishing, in het bijzonder taal die urgentie aangeeft of is gerelateerd aan financiële transacties.
Vade Secure voor Microsoft 365 waarschuwt gebruikers voor mogelijke spear-phishingpogingen met een waarschuwingsbanner die wordt geactiveerd wanneer de verdachte e-mail wordt geopend. Dit biedt de pauze die nodig is voor de gebruiker om de mogelijke waarschuwingssignalen die ze anders zouden hebben gemist te overwegen. Bovendien, als de e-mail anomalieën bevat, maar een legitiem bericht is, zal de e-mail niet verkeerd worden geclassificeerd en geblokkeerd, zodat belangrijke bedrijfscommunicatie met succes wordt afgeleverd.