‚CEO podvod‘: co to je a jak to funguje

Ana Gómez Blanco Ana Gómez Blanco
Ana Gómez Blanco

Tento typ kyber-útokem takovým způsobem cílené na firmy zaměstnanci – se neustále zvyšuje v průběhu loňského roku. ‚CEO podvodu může ovlivnit jakýkoliv typ společnosti, od malých rodinných podniků až po velké nadnárodní společnosti a je nezbytné pochopit, jak to funguje s cílem chránit společností z ní.

v roce 2018 byl svět zasažen podvodem, který stál společnosti odhadem 1,1 miliardy eur: „CEO fraud“. Tento podvod je poměrně běžný a v roce 2019 se pravděpodobně ještě více stane.

INTERNET

Falešné nabídky práce: Naučte se, jak rozpoznat

kyber-Zločinci jsou pomocí nástroje pro hledání práce, jako je LinkedIn pro přístup k osobní údaje tisíců uživatelů. Proto je tak důležité vědět, jak se před touto hrozbou identifikovat a chránit.

„CEO podvod“, také známý jako „Business E-mail Kompromis“ (BEC), je podvod, při kterém vysoká úroveň vedení (také známý jako C-úrovni vedení) jsou zosobněného, dát zaměstnancům naléhavé a důvěrné rozkazy, aby se finanční transakce způsobem, který nedodržuje společnosti standardní postupy. Počítačoví zločinci se pokoušejí budovat důvěru ve své oběti pomocí informací, které jsou veřejně dostupné online, čímž se jakékoli téma jeví jako důvěryhodné.

v Průběhu let, podvodníci se stala sofistikovanější v tom, jak nastavit fázi, k bodu, kde vytvářejí věrohodné situace, s velkou podpůrnou strukturu. To znamená, že „modus operandi“ zůstává stejný, skládá se ze čtyř hlavních etap:

  • Fáze 1: výběr oběti

Každý den informace o budoucích firemních akcí, sponzorské akce, výlety, atd. je publikován na firemních webových stránkách a stránkách sociálních sítí zaměstnanců. Toto nevinné příspěvky, které se může snažit propagovat společnost může být zneužita zločineckými skupinami, jak identifikovat, kdy top manažer – buď z nadnárodní firmy nebo malé a střední podniky bude nedostupný, nebo s omezeným přístupem k počítači nebo telefonu.

Jednou osobou, mají v plánu vydávat byl identifikován, zločinci výzkumu společnosti odvětví, síť kontaktů, partnerů, společné transakce, zprávy o možné fúzi a zda je či není osoba, na starosti má zúčastnili akce nebo veletrh, kde s/on může udělat velký nákup. Proto je většina běžných scénářů zločinci použili v posledních měsících získat důvěru zaměstnanců, jsou:

    • falešné ředitel kontakty zaměstnanec s přístupem na účty společnosti zeptat se ho, nebo jí, aby urychleně převést peníze na číslo účtu, který není běžně používán. Kybernetičtí zločinci vědí, na koho se mají obrátit díky digitální stopě zaměstnance-jinými slovy, informace veřejně dostupné online.
    • falešné nebo zosobněného fúzí a akvizic společností (M&) věnovaný nákupu, prodeje a slučování firem, píše se zaměstnanec žádá ho, nebo ji, aby pomoc s provozem převodem peněz. Zločinci se omlouvají, že jejich nadřízený, kterého v té době nelze zastihnout, jim o tom měl dříve říct a že operace je důvěrná.

  • fáze 2: manipulace se zaměstnancem

Zde přichází do hry „sociální inženýrství“. Jakmile je alibi připraveno, zločinci zavolají nebo pošlou Zaměstnanci e-mail se svolením k provádění transakcí nebo přístupu k citlivým informacím. E-mail je obvykle odesílán z domény velmi podobné originálu, takže zaměstnanci vypadá dobře. Podpis je obvykle vynechán nebo se používá podpis velmi podobný originálu.

e-mail struktura má tendenci zahrnovat následující:

    • Krátký úvod s vysvětlením, že jeho velmi naléhavé a důvěrné věci, které nelze vysvětlit kolegům, nebo nadřízeným.
    • tělo e-mailu s žádostí o citlivé informace nebo s žádostí zaměstnance o provedení bankovní transakce za vysokou částku na neobvyklé číslo účtu.
    • závěrka připomínající, jak důležitá je důvěrnost a naléhavost této operace.

někdy e-mail nepřijde sám. Může být doprovázeno nebo předchází:

    • předchozí telefonní hovory nebo e-maily potvrzující, že zaměstnanec bude k dispozici při odeslání e-mailu.
    • přiložené dokumenty, které simulují dohodu o mlčenlivosti.
    • velmi specifické podrobnosti o firemních postupech a transakcích, které zaměstnanci vypadají dobře, aby získali důvěru v to, co je požadováno.
  • fáze 3: reakce zaměstnanců

zaměstnanec může reagovat tím, že dělá to, co je požadováno, bez dotazování. K tomu dochází v důsledku naléhavé povahy zprávy. Zaměstnanec nemá zastavit, zkontrolovat e-mailovou adresu, která poslala zprávu, zda e-mail byl napsán správně, pokud jde o strukturu a gramatiku, nebo zda žádost odpovídá běžné praxi ve společnosti. Možná kybernetický zločin poskytl dostatek údajů, aby získal důvěru zaměstnance. Několikrát opakováním, že je něco důvěrné, mají zaměstnanci tendenci se o to podělit se svými kolegy kvůli strachu z následků.

  • Fáze 4: dopad

čísla účtů, které zločinecké skupiny používají, bývají v jiných zemích. Hlášené incidenty využívaly účty v Číně, Africe nebo daňových rájích s odlišnou hospodářskou politikou než v Evropě. Různé právní předpisy v kombinaci s časovými rozdíly a jazykovými bariérami činí zrušení převodů nebo sledování peněz nemožným úkolem.

ani ty nejbezpečnější systémy nejsou bezpečné, pokud jsou dveře ponechány otevřené zločincům. Pamatujte: jste nejlepší obrana!

číst Dál

  • Kybernetické bezpečnosti
  • Podnikání
  • Bezpečnost

zlepšit kvalitu našich služeb, poskytnout příjemný zážitek a analyzovat vaše navigační návyky jako uživatel Webu zobrazovat uživatelům reklamy vztahující se k jejich preference, prosím, na vědomí, že používáme proprietární a soubory cookie třetích stran. Pokud budete pokračovat v procházení webu, předpokládáme, že souhlasíte s používáním souborů cookie.

Pokud chcete změnit nastavení nebo zkontrolovat další informace, můžete přistupovat k našim zásadám používání souborů cookie kliknutím zde.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.