Top 4 trucuri folosite în atacurile de fraudă CEO

de | septembrie 17, 2021 | Cum să..., Securitate cibernetică.

Pe zi ce trece, escrocii devin din ce în ce mai creativi în ceea ce privește strategia de atac prin fraudă CEO. Acest articol vă va prezenta cele mai ingenioase și mai populare trucuri din arsenalul unui hacker.

Ce este frauda CEO și cum funcționează atacurile prin fraudă CEO?

Înșelătoriile prin frauda CEO sunt un tip de atac de phishing în care escrocii, folosind e-mail-ul, se dau drept CEO și îi păcălesc pe angajați să transfere bani sau să furnizeze date confidențiale ale companiei. Această tehnică de inginerie socială profită de încrederea destinatarului e-mailului.

Infractorii cibernetici vor pretinde că sunt directorul general al companiei sau alți directori și vor cere angajaților, de obicei din departamentele de resurse umane sau de contabilitate, să efectueze un transfer bancar, să actualizeze datele contului sau să furnizeze informații despre acesta.

Frauda CEO poate varia de la escrocherii cu carduri cadou până la fraude bancare și a costat companiile americane 1,7 miliarde de dolari în 2019.

4 dintre cele mai populare trucuri și strategii folosite în fraudele CEO

Citiți în continuare pentru a descoperi primele 4 trucuri folosite în atacurile prin frauda CEO.

1. Aplicarea de presiune

Înșelătoriile cu carduri cadou sunt unele dintre cele mai răspândite metode de spear-phishing. Acestea au devenit preferatele hackerilor, deoarece sunt ușor de executat, dar greu de urmărit și pot fi foarte profitabile cu puțin efort.

De obicei, un escroc va pretinde că este un director general și că se află într-o ședință și că trebuie să cumpere urgent carduri cadou pentru un client. De obicei, va pretinde că tichetele cadou sunt o surpriză pentru angajați, ceea ce reprezintă o tehnică de inginerie socială pentru a manipula victima să păstreze secretul cererii. În plus, din cauza caracterului urgent al sarcinii, angajatul vizat se va grăbi să o îndeplinească fără să se întrebe prea multe detalii.

Puneți-vă în locul angajatului dumneavoastră. Teama de a nu reuși sau de a-și dezamăgi directorul general ar pune o greutate uriașă pe umerii săi. Poate că presiunea nu ar fi la fel de mare dacă solicitarea ar veni de la Jane de la contabilitate, dar dacă vine direct de la directorul general, logic, acest lucru este mai important în mintea unui angajat.

Atacurile de fraudă CEO presează de obicei victima să îndeplinească o sarcină.

În plus, multe dintre victimele atacurilor prin frauda CEO au avut anterior un contact redus sau chiar inexistent cu directorul general. Acest lucru face ca victima să fie mai vulnerabilă la înșelăciune, deoarece e-mailul malițios o surprinde cu garda jos. Iar dacă cererea este prima comunicare dintre victimă și directorul general, aceasta va simți nu doar presiune, ci și o dorință puternică de a mulțumi și de a răspunde așteptărilor șefului său.

2. Pretexting-ul și ingineria socială

Majoritatea victimelor atacurilor prin frauda CEO nu obișnuiesc să comunice cu directorul general. Prin urmare, aceștia nu sunt familiarizați cu stilul de comunicare al acestuia și cu ceea ce ar face sau nu ar face, ar spune sau nu ar spune, ceea ce oferă escrocului un avantaj valoros.

Pretexting-ul, o tactică obișnuită de inginerie socială, deschide o linie de comunicare cu victima pentru a o convinge să accepte cererea. Din nefericire, acest lucru permite, de asemenea, escrocului să stabilească așteptări („Nu spuneți nimănui despre asta; este o surpriză!”) și să adune informații suplimentare care să îl ajute să reușească.

Uneori, hackerul va trimite de mai multe ori e-mailuri țintei pentru a-i verifica progresul în îndeplinirea sarcinii date, asigurându-se că nimeni altcineva nu este la curent cu tranzacția și exercitând o presiune și mai mare.

3. Trimiterea e-mailurilor de pe dispozitive mobile

Având în vedere că directorii executivi sunt oameni ocupați, este logic ca aceștia să comunice cu subordonații lor mai ales de pe smartphone. E-mailurile de spear-phishing trimise de pe un dispozitiv mobil creează impresia că directorul general este plecat de la birou. Acest lucru îl avantajează pe hacker din mai multe puncte de vedere.

În primul rând, se creează iluzia că directorul general ar putea avea nevoie de ajutor, deoarece nu se află în birou și, probabil, nu are laptopul la îndemână. În al doilea rând, lasă loc pentru mici greșeli gramaticale și de ortografie, care pot fi tolerate pe un dispozitiv mobil și dacă mesajul este scris rapid.

În cele din urmă, și cel mai important, această tehnică sporește șansele de a trece cu vederea detaliile e-mailului falsificat. De exemplu, dacă hackerul falsifică numele directorului general, dar nu și domeniul companiei, este rezonabil ca angajatul să creadă că directorul general a făcut o greșeală și a trimis e-mailul de pe o adresă personală.

4. Falsuri profunde

Deep fakes (Falsurile profunde) sunt relativ noi în peisajul de compromitere a e-mailurilor de afaceri. Cu toate acestea, acestea s-au dovedit a fi foarte eficiente atunci când sunt implicate în atacuri de phishing. În plus, există deja pe piață instrumente bazate pe inteligență artificială pe care infractorii cibernetici le pot folosi pentru a imita vocea unui director executiv.

Potrivit The Wall Street Journal, în 2019, un director executiv al unei companii energetice din Marea Britanie a primit un telefon de la directorul executiv al companiei-mamă germane – numai că nu era directorul său executiv. În schimb, era vorba de un hacker care imita vocea directorului general din Germania cu ajutorul unui software fals și care solicita o plată prin transfer bancar către un furnizor. Rezultatul a fost o plată de 243.000 de dolari către hacker, care în scurt timp a sunat din nou pentru a cere mai mult, ceea ce l-a alertat pe directorul general.

Software-ul Deep fake este disponibil pentru oricine, eficient și destul de ieftin. Din nefericire, companiile încă nu au un răspuns pentru această problemă. Potrivit Computer Weekly, 77% dintre factorii de decizie în domeniul securității cibernetice sunt conștienți de această nouă amenințare, dar numai 28% dintre ei au un plan de apărare împotriva ei.

Combateți atacurile de fraudă CEO cu ATTACK Simulator

Atunci când vă echipați angajații cu cunoștințe extinse și relevante despre cum să detecteze semnalele de alarmă ale unui atac de phishing, aceștia pot să aloce timpul necesar pentru a examina cu calm situația și să ia în considerare toate detaliile în care se poate ascunde diavolul, care altfel ar trece neobservate.

Pentru a evalua în mod obiectiv expunerea și vulnerabilitatea companiei dvs. la frauda CEO și la orice altă formă de phishing, puteți utiliza testul nostru gratuit de pregătire pentru conștientizarea securității.

Simulările noastre de phishing imită viața reală îi vor expune pe angajații dvs. la false atacuri de phishing realiste și practice.

Alegeți programul ATTACK Simulator’s Security Awareness Training pentru a le oferi angajaților dumneavoastră cunoștințele de securitate necesare și practicile de securitate actualizate pentru a vă menține compania în siguranță împotriva infractorilor.

Atribuire

Ilustrații de lucru de Storyset

Communication illustrations de Storyset

Technology photo creată de rawpixel.com – www.freepik.com

by Diana Panduru

Content writer for Attack Simulator. Passionate about all things writing and cybersecurity, and obsessed with driving. I sometimes indulge in pencil drawing, poetry, and cooking for fun.

Nu există niciun motiv pentru a amâna instruirea angajaților.

Solicitați o ofertă bazată pe nevoile organizației dvs. și începeți să construiți o infrastructură puternică de securitate cibernetică chiar astăzi.