Co to jest oszustwo prezesa?
Czym w ogóle jest oszustwo CEO?
Oszustwo CEO to wyrafinowane oszustwo e-mailowe, którego cyberprzestępcy używają, aby nakłonić pracowników do przelania im pieniędzy lub przekazania im poufnych informacji firmowych.
Cyberprzestępcy wysyłają sprytne e-maile, podszywając się pod dyrektora generalnego firmy lub innych członków kierownictwa firmy i proszą pracowników, zwykle z działów kadr lub księgowości, o pomoc poprzez wysłanie przelewu bankowego. Często określane jako Business Email Compromise (BEC), to cyberprzestępstwo wykorzystuje sfałszowane lub przejęte konta e-mail, aby nakłonić odbiorców wiadomości e-mail do działania.
Oszustwo CEO to technika inżynierii społecznej polegająca na zdobyciu zaufania odbiorcy wiadomości e-mail. Cyberprzestępcy stojący za oszustwami CEO wiedzą, że większość ludzi nie patrzy uważnie na adresy e-mail lub nie dostrzega drobnych różnic w pisowni.
Te e-maile używają znanego, ale pilnego języka i wyjaśniają, że odbiorca wyświadcza nadawcy wielką przysługę, pomagając mu. Cyberprzestępcy żerują na ludzkim odruchu wzajemnego zaufania i chęci pomocy innym.
Ataki oszustw na dyrektorów generalnych rozpoczynają się od phishingu, spear phishingu, BEC i wielorybnictwa w celu podszywania się pod kierownictwo firmy.
Czy oszustwo prezesa jest czymś, czym przeciętna firma powinna się martwić?
Oszustwa związane z prezesami firm stają się coraz bardziej powszechnym rodzajem cyberprzestępczości. Cyberprzestępcy wiedzą, że każdy ma pełną skrzynkę odbiorczą, co ułatwia zaskoczenie ludzi i przekonanie ich do odpowiedzi.
Bardzo ważne jest, aby pracownicy rozumieli, jak ważne jest uważne czytanie wiadomości e-mail oraz weryfikowanie adresu i nazwiska nadawcy wiadomości e-mail. Szkolenia w zakresie świadomości cyberbezpieczeństwa i ciągła edukacja odgrywają zasadniczą rolę w przypominaniu ludziom o znaczeniu bycia świadomym cyberbezpieczeństwa, jeśli chodzi o e-maile i skrzynkę odbiorczą.
Jakie są przyczyny oszustw prezesów?
Cyberprzestępcy polegają na czterech kluczowych taktykach popełniania oszustw związanych z CEO:
Inżynieria społeczna
Inżynieria społeczna opiera się na ludzkim instynkcie zaufania, aby nakłonić ludzi do ujawnienia poufnych informacji. Za pomocą starannie napisanych e-maili, wiadomości tekstowych lub rozmów telefonicznych cyberprzestępca zdobywa zaufanie ofiary i przekonuje ją do podania żądanych informacji lub na przykład do przesłania przelewu bankowego. Aby odnieść sukces, socjotechnika potrzebuje tylko jednej rzeczy: zaufania ofiary. Wszystkie te inne techniki mieszczą się w kategorii inżynierii społecznej.
phishing
Phishing to cyberprzestępstwo wykorzystujące taktyki, w tym oszukańcze wiadomości e-mail, strony internetowe i wiadomości tekstowe, w celu kradzieży pieniędzy, informacji podatkowych i innych poufnych informacji. Cyberprzestępcy wysyłają dużą liczbę e-maili do różnych pracowników firmy, mając nadzieję, że nakłonią jednego lub więcej odbiorców do odpowiedzi. W zależności od techniki phishingu przestępca może następnie użyć złośliwego oprogramowania z załącznikiem wiadomości e-mail do pobrania lub skonfigurować stronę docelową w celu kradzieży danych uwierzytelniających użytkownika. Każda z tych metod jest wykorzystywana do uzyskania dostępu do konta e-mail dyrektora generalnego, listy kontaktów lub poufnych informacji, które następnie można wykorzystać do wysyłania ukierunkowanych wiadomości e-mail o oszustwach prezesa do niczego niepodejrzewających odbiorców.
Spear Phishing
Ataki spear phishing wykorzystują bardzo ukierunkowane wiadomości e-mail skierowane przeciwko osobom fizycznym i firmom. Przed wysłaniem wiadomości e-mail spear phishing cyberprzestępcy wykorzystują Internet do zbierania danych osobowych swoich celów, które są następnie wykorzystywane w wiadomości e-mail spear phishing. Odbiorcy ufają nadawcy wiadomości e-mail i proszą, ponieważ wiadomość pochodzi od firmy, z którą prowadzą interesy, lub odnosi się do wydarzenia, w którym uczestniczyli. Odbiorca jest następnie nakłaniany do podania żądanych informacji, które są następnie wykorzystywane do popełniania dalszych cyberprzestępstw, w tym oszustwa CEO.
Wielorybnictwo wykonawcze
Wielorybnictwo to wyrafinowana cyberprzestępczość, w której przestępcy podszywają się pod dyrektorów generalnych, dyrektorów finansowych i innych kierowników, mając nadzieję, że skłonią ofiary do działania. Celem jest wykorzystanie autorytetu lub statusu kierownika, aby przekonać odbiorcę do szybkiej odpowiedzi bez weryfikowania prośby z innym współpracownikiem. Ofiary czują, że robią coś dobrego, pomagając swojemu dyrektorowi generalnemu i firmie, na przykład płacąc firmie zewnętrznej lub przesyłając dokumenty podatkowe na prywatny serwer.
Wszystkie te techniki oszustw prezesów opierają się na jednym kluczowym elemencie – ludzie są zajęci i nie zwracają pełnej uwagi na e-maile, adresy URL witryn, wiadomości tekstowe lub szczegóły poczty głosowej. Wystarczy brak błędu ortograficznego lub nieco inny adres e-mail, a cyberprzestępca wygrywa.
Ważne jest, aby zapewnić pracownikom firmy edukację w zakresie świadomości bezpieczeństwa i wiedzę, która podkreśla znaczenie zwracania uwagi na adresy e-mail, nazwy firm i prośby, które mają nawet cień podejrzeń.
Jak zapobiegać oszustwom prezesów
- Poinformuj swoich pracowników o typowych taktykach oszustw prezesów. Skorzystaj z bezpłatnych narzędzi do symulacji phishingu, aby edukować i identyfikować ryzyko phishingu, inżynierii społecznej i oszustw CEO.
- Korzystaj ze sprawdzonych szkoleń w zakresie świadomości bezpieczeństwa i platform do symulacji phishingu, aby pracownicy byli na bieżąco z zagrożeniami związanymi z oszustwami związanymi z atakami na dyrektorów generalnych. Twórz wewnętrznych bohaterów cyberbezpieczeństwa, którzy są zaangażowani w zapewnienie bezpieczeństwa cybernetycznego Twojej organizacji.
- Przypomnij liderom bezpieczeństwa i bohaterom cyberbezpieczeństwa, aby regularnie monitorowali cyberbezpieczeństwo pracowników i świadomość oszustw za pomocą narzędzi do symulacji phishingu. Wykorzystaj moduły mikronaukowe CEO dotyczące oszustw, aby edukować, szkolić i zmieniać zachowania.
- Zapewnij ciągłą komunikację i kampanie dotyczące bezpieczeństwa cybernetycznego, oszustw CEO i inżynierii społecznej. Obejmuje to ustanowienie silnych zasad dotyczących haseł i przypominanie pracownikom o zagrożeniach, które mogą wiązać się z formatem wiadomości e-mail, adresów URL i załączników.
- Ustal reguły dostępu do sieci, które ograniczają korzystanie z urządzeń osobistych i udostępnianie informacji poza siecią firmową.
- Upewnij się, że wszystkie aplikacje, systemy operacyjne, narzędzia sieciowe i oprogramowanie wewnętrzne są aktualne i bezpieczne. Zainstaluj ochronę przed złośliwym oprogramowaniem i oprogramowanie antyspamowe.
- Włącz kampanie zwiększające świadomość cyberbezpieczeństwa, szkolenia, wsparcie, edukację i zarządzanie projektami do swojej kultury korporacyjnej.
W jaki sposób symulacja phishingu może pomóc w zapobieganiu oszustwom CEO?
- Zmierz stopnie podatności na zagrożenia korporacyjne i pracowników
- Zmniejsz poziom ryzyka cyberzagrożeń
- Zwiększ czujność użytkowników na oszustwa CEO, phishing, spear phishing, inżynierię społeczną i ryzyko związane z wielorybnictwem kadry kierowniczej
- Zaszczep kulturę cyberbezpieczeństwa i stwórz bohaterów cyberbezpieczeństwa
- Zmień zachowanie, aby wyeliminować automatyczną odpowiedź zaufania
- Wdrażaj ukierunkowane rozwiązania antyphishingowe
- Chroń cenne dane firmowe i osobiste
- Spełnij wymagania dotyczące zgodności z przepisami branżowymi
- Oceń wpływ szkolenia uświadamiającego w zakresie bezpieczeństwa cybernetycznego
- Ogranicz najczęstszą formę ataku, która powoduje naruszenia bezpieczeństwa danych
Dowiedz się więcej o oszustwach prezesów
Aby dowiedzieć się więcej o oszustwach CEO i najlepszych sposobach dbania o bezpieczeństwo organizacji, skontaktuj się z nami jeśli masz jakiekolwiek pytania.
