reklama
E-mail je běžný vektor útoku používaný podvodníky a počítačovými zločinci. Ale pokud jste si mysleli, že se používá pouze k šíření malwaru, phishingu a Podvody nigerijských poplatků Skrývají nigerijské podvodné e-maily strašlivé tajemství? [Názor]Další den se do mé schránky dostane další spamový e-mail, který nějakým způsobem pracuje kolem spamového filtru Windows Live, který dělá tak dobrou práci na ochraně mých očí před všemi ostatními nevyžádanými ... Přečtěte si více , zamyslete se znovu. Je zde nový e-mailový podvod, kdy útočník předstírá, že je vaším šéfem, a přiměje vás převést tisíce dolarů podnikových prostředků na bankovní účet, který ovládají.
Říká se tomu CEO Fraud, nebo „Insider Spoofing“.
Porozumění útoku
Jak tedy útok funguje? Aby to útočník mohl úspěšně stáhnout, potřebuje znát spoustu informací o společnosti, na kterou cílí.
Většina těchto informací se týká hierarchické struktury společnosti nebo instituce, na kterou cílí. Budou to potřebovat vědět SZO budou se vydávat. Přestože je tento typ podvodů známý jako „podvod generálních ředitelů“, ve skutečnosti se zaměřuje
kdokoliv s hlavní rolí - každý, kdo by byl schopen iniciovat platby. Bude potřebovat znát své jméno a e-mailovou adresu. Pomohlo by to také zjistit jejich rozvrh a kdy byli na cestách nebo na dovolené.
A konečně musí vědět, kdo v organizaci je schopen vydávat převody peněz, jako je účetní nebo někdo, kdo zaměstnává finanční oddělení.
Většinu těchto informací lze volně najít na webových stránkách příslušné společnosti. Mnoho společností střední a malé velikosti má stránky „O nás“, na nichž uvádí seznam svých zaměstnanců, jejich role a odpovědnosti a kontaktní informace.
Najít něčí plány může být o něco těžší. Převážná většina lidí svůj kalendář online nezveřejňuje. Mnoho lidí však propaguje své hnutí na sociálních sítích, jako jsou Twitter, Facebook a Swarm (dříve Foursquare) Foursquare se spouští jako nástroj objevování založený na vašich vkusechFoursquare propagoval mobilní odbavení; aktualizace stavu podle polohy, která řekla světu přesně, kde jste a proč - takže je přechod na čistě objevovací nástroj krok vpřed? Přečtěte si více . Útočník by musel počkat, dokud neopustí kancelář, a může zasáhnout.
Jsem na St George's Market - @ stgeorgesbt1 v Belfast, Co. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17. ledna 2016
Jakmile má útočník všechny části skládačky, které potřebuje k provedení útoku, pošle finanční prostředky e-mailem zaměstnanec, který má v úmyslu být generálním ředitelem, a požadovat, aby zahájili převod peněz na bankovní účet řízení.
Aby e-mail fungoval, musí vypadat pravě. Budou používat e-mailový účet, který vypadá „legitimně“, nebo hodnověrný (například jmé[email protected]) nebo „spoofing“ skutečný e-mail generálního ředitele. Zde bude odeslán e-mail s upravenými záhlavími, takže pole „Od:“ obsahuje skutečný e-mail generálního ředitele. Někteří motivovaní útočníci se pokusí přimět generálního ředitele, aby jim poslal e-mail, aby mohli duplikovat styly a estetiku svého e-mailu.
Útočník doufá, že finanční zaměstnanec bude pod tlakem, aby zahájil převod, aniž by nejprve zkontroloval u cílového manažera. Tato sázka se často vyplácí, přičemž některé společnosti nevědomky vyplatily stovky tisíc dolarů. Jedna společnost ve Francii, která byla profiluje BBC ztratil 100 000 eur. Útočníci se pokusili získat 500 000, ale všechny platby kromě jedné byly blokovány bankou, která měla podezření z podvodu.
Jak útoky sociálního inženýrství fungují
Tradiční hrozby počítačové bezpečnosti mají obvykle technologický charakter. Jako výsledek, můžete použít technologická opatření k porážce těchto útoků. Pokud se nakazíte malwarem, můžete nainstalovat antivirový program. Pokud se někdo pokoušel hacknout váš webový server, můžete si najmout někoho, kdo provede penetrační test a poradí vám, jak můžete stroj „zatvrdit“ proti jiným útokům.
Útoky sociálního inženýrství Co je sociální inženýrství? [MakeUseOf vysvětluje]Můžete nainstalovat nejsilnější a nejdražší firewall tohoto odvětví. Můžete zaměstnance poučit o základních bezpečnostních postupech a důležitosti výběru silných hesel. Můžete dokonce zamknout serverovou místnost - ale jak ... Přečtěte si více - z čehož je příkladem podvod CEO - je mnohem těžší se proti němu zmírnit, protože nenapadají systémy ani hardware. Útočí na lidi. Spíše než využívají zranitelnosti v kódu, využívají lidské povahy a našeho instinktivního biologického imperativu, aby věřili jiným lidem. Jedno z nejzajímavějších vysvětlení tohoto útoku bylo na konferenci DEFCON v roce 2013.
Některé z nejodvážnějších drsných hacků byly produktem sociálního inženýrství.
V roce 2012 se bývalý kabelový novinář Mat Honan ocitl pod útokem odhodlaného kádru kybernetických zločinců, kteří byli rozhodnuti rozebrat svůj online život. Pomocí taktiky sociálního inženýrství dokázali přesvědčit Amazon a Apple, aby jim poskytli informace potřebné k dálkovému vymazání jeho MacBook Air a iPhone, smažte jeho e-mailový účet a využijte jeho vlivný účet Twitter, abyste mohli zveřejňovat rasové a homofobní epithets. Vy zde můžete přečíst chladivý příběh.
Útoky v oblasti sociálního inženýrství jsou stěží novou novinkou. Hackeři je používají po celá desetiletí, aby získali přístup k systémům, budovám a informacím po celá desetiletí. Jedním z nejznámějších sociálních inženýrů je Kevin Mitnick, který se v polovině 90. let schovával před policií poté, co spáchal řadu počítačových zločinů. Pět let byl uvězněn a do roku 2003 mu bylo zakázáno používat počítač. Jak hackeři jdou, Mitnick byl tak blízko, jak jste se mohli dostat mající status rockstar 10 nejslavnějších a nejlepších hackerů na světě (a jejich fascinující příběhy)Hackeři s bílým kloboukem proti hackerům s černým kloboukem. Zde jsou nejlepší a nejslavnější hackeři v historii a to, co dnes dělají. Přečtěte si více . Když mu bylo konečně dovoleno používat internet, bylo to vysíláno na Leo Laporte Spořiče obrazovky.
Nakonec se stal legitimním. Nyní řídí vlastní poradenskou firmu v oblasti počítačového zabezpečení a napsal řadu knih o sociálním inženýrství a hackování. Snad nejuznávanějším je „Umění podvodu“. Jde v podstatě o antologii povídek, které se zabývají tím, jak lze útoky sociálního inženýrství odstranit a jak ochraňte se před nimi Jak se chránit před útoky na sociální inženýrstvíMinulý týden jsme se podívali na některé z hlavních hrozeb v oblasti sociálního inženýrství, které byste měli vy, vaše společnost nebo vaši zaměstnanci hledat. Stručně řečeno, sociální inženýrství je podobné ... Přečtěte si více , a je k dispozici ke koupi na Amazonu.
Co se dá udělat s podvody generálního ředitele?
Takže pojďme shrnout. Víme, že generální ředitel Fraud je hrozný. Víme, že mnoho společností stálo spoustu peněz. Víme, že je neuvěřitelně těžké se proti nim zmírnit, protože se jedná o útok na lidi, nikoli na počítače. Poslední věcí, kterou musíme pokrýt, je to, jak proti němu bojujeme.
To se snadněji říká, než udělá. Pokud jste zaměstnanec a od svého zaměstnavatele nebo šéfa jste obdrželi podezřelou žádost o platbu, možná byste se měli u nich zkontrolovat (pomocí jiné metody než e-mailu) a zjistit, zda byla skutečná. Mohli by vás trochu obtěžovat za to, že je obtěžují, ale pravděpodobně budou více naštvaný, pokud jste nakonec odeslali 100 000 $ podnikových prostředků na účet zahraniční banky.
Existují technologická řešení, která lze také použít. Microsoft nadcházející aktualizace Office 365 bude obsahovat určité ochrany před tímto typem útoku tím, že zkontroluje zdroj každého e-mailu a zjistí, zda pocházel od důvěryhodného kontaktu. Společnost Microsoft počítá s tím, že dosáhlo 500% zlepšení v tom, jak Office 365 identifikuje padělky nebo falešné e-maily.
Nebuď Stung
Nejspolehlivější způsob ochrany před těmito útoky musí být skeptický. Kdykoli dostanete e-mail, který vás požádá o provedení velkého převodu peněz, zavolejte svého šéfa a zjistěte, zda je to legitimní. Máte-li nějaké problémy s IT oddělením, zvažte to přesunout do Office 365 Úvod do Office 365: Měli byste si koupit nový obchodní model Office?Office 365 je balíček založený na předplatném, který nabízí přístup k nejnovějším sadám Office Office, Office Online, cloudovému úložišti a prémiovým mobilním aplikacím. Poskytuje Office 365 dostatečnou hodnotu, aby stálo za to peníze? Přečtěte si více , který vede smečku, pokud jde o boj s generálním ředitelem Fraud.
Určitě doufám, že ne, ale už jste se někdy stali oběťmi podvodného e-mailu? Pokud ano, chci o tom slyšet. Drop bude komentář níže a řekni mi, co šlo dolů.
Foto Kredity: AnonDollar (Váš Anon), Miguel The Entertainment CEO (Jorge)
Matthew Hughes je vývojář a spisovatel softwaru z anglického Liverpoolu. Málokdy je nalezen bez šálku silné černé kávy v ruce a absolutně zbožňuje svůj Macbook Pro a fotoaparát. Jeho blog si můžete přečíst na adrese http://www.matthewhughes.co.uk a následujte ho na twitteru na @ matthewhughes.