Недавно вы получили письмо от генерального директора с просьбой перевести деньги “поставщику”? Не делайте этого! Это мошенничество генерального директора или кит-фишинг. Китовый фишинг – это вид кибернетической атаки, объектами которой становятся генеральные директора и руководители высшего звена. При кит-фишинге отправляется электронное письмо с попыткой выдать себя за высокопоставленного чиновника, чтобы получить деньги, конфиденциальную информацию или доступ. Вот несколько основных моментов, связанных с фишингом:
- Исследования и социальная инженерия проводятся даже через каналы социальных сетей.
- Персонализация электронной почты, чтобы она выглядела правдоподобно
- Стиль письма старшего специалиста копируется таким образом, что создается впечатление, что письмо исходит от авторитетного источника
В этой статье я на собственном опыте рассказал о мошенничестве со стороны CEO и объяснил, как оно работает, приведя несколько примеров. Я также рассказал о том , как предотвратить фишинговое мошенничество, ведь осведомленность – это главное! Давайте начнем с небольшой предыстории. CEO Fraud случился со мной почти через два месяца после того, как я присоединился к Geekflare в качестве штатного писателя.
Это не сразу стало очевидным, поскольку мошенник использовал известное доменное имя Virgin Media(caneae@virginmedia.com), и я подумал, что мой генеральный директор каким-то образом связан с этой телекоммуникационной компанией, поскольку обе они расположены в Великобритании. Поэтому на первое сообщение “Я хотел бы поручить вам задание, вы свободны?” я ответил положительно. Далее отправитель подробно описал задание, включающее перевод 24 610 индийских рупий (~ 300 долларов США) поставщику, детали которого были бы раскрыты, если бы я согласился. Но это вызвало у меня некоторые подозрения, и я попросил отправителя подтвердить свою личность, прежде чем переводить что-либо. Через несколько электронных писем мошенник отказался от сотрудничества, и я переслал разговор своему настоящему генеральному директору и в IT-отдел Virgin Media. Хотя у меня не было никакой подготовки по работе с мошенниками такого рода, мне повезло не попасть в эту ловушку. Но не стоит полагаться только на удачу, а лучше узнать об этом заранее и просветить других.
Что такое мошенничество руководителей компаний или фишинг?
То, что произошло со мной, на самом деле относится к категории spear phishing- атак, направленных на определенную организацию или некоторых ее сотрудников. Она будет известна как фишинговая атака, если целью является высокопоставленный сотрудник (например, руководитель высшего звена) какой-либо организации. Федеральное бюро расследований США относит эти мошенничества к категории Business Email Compromise (BEC) или Email Account Compromise (EAC).
Согласно отчету ФБР об интернет-преступлениях, в 2021 году убытки от мошенничества с использованием электронной почты составили около 2,4 миллиарда долларов. Отчет ФБР о преступлениях в Интернете
В 2021 году убытки от них составили почти 2,4 миллиарда долларов, согласно этому отчету об интернет-преступлениях. По географическому расположению Нигерия занимает первое место среди стран, где совершается 46 % мошенничеств в отношении руководителей компаний, за ней следуют США (27 %) и Великобритания (15 %).
Как работает “китовый фишинг”?
Примечательно, что для CEO-мошенничества не нужны никакие технические навыки или криминальное ноу-хау. Все, что вы получите, – это случайное письмо и социальная инженерия, чтобы обманом заставить вас отправить деньги или раскрыть конфиденциальные данные для дальнейших противоправных действий. Давайте рассмотрим несколько способов, с помощью которых плохие актеры делают это “в настоящее время”.
Примеры фишинга с помощью китов
Тип 1
Случайный адрес электронной почты, выдаваемый за адрес генерального директора, с просьбой о деньгах – простейшая форма такого обмана. И его легко распознать. Все, на что нужно обратить внимание, – это адрес электронной почты (а не имя). Как правило, доменное имя(xyz@companyname.com) выдает мошенника. Однако адрес электронной почты может указывать на известную организацию (как это было в моем случае). Вот более явно сконструированный пример.
Эти награды придают мошенничеству легитимность, которая может стать жертвой неосведомленного специалиста. Кроме того, адрес электронной почты может выглядеть подлинным, но с небольшими незаметными изменениями, например @gmial.com вместо @gmail.com. И наконец, он может быть получен с законного, но взломанного адреса электронной почты, что делает обнаружение мошенничества крайне затруднительным.
Тип 2
Другая, более изощренная техника использует видеозвонки. Сюда входит “управляемый” адрес электронной почты высокопоставленного чиновника, рассылающего “срочные” запросы на встречу в режиме онлайн своим сотрудникам, в основном из финансового отдела. Далее участники видят изображение без звука (или с поддельным звуком) с утверждением, что соединение работает не так, как ожидалось. Затем “руководитель предприятия” просит инициировать банковский перевод на неизвестные банковские счета, откуда деньги после успешного мошенничества уходят по другим каналам (читай – через криптовалюты).
Тип 3
Этот вид мошенничества является разновидностью первого типа, но направлен на бизнес-партнеров, а не на сотрудников, и получил название “мошенничество со счетами-фактурами”, более подходящее для его способа действия. В этом случае клиент организации получает письмо с просьбой срочно оплатить счет на определенные банковские счета.
Это самый успешный вариант, поскольку обычно для его реализации используется взломанный адрес электронной почты компании. А поскольку электронная почта – это способ, иногда единственный, общения профессионалов, это приводит к огромным финансовым и репутационным потерям для целевой организации.
Как предотвратить фишинг
Будучи сотрудником, трудно отказаться от просьбы собственного руководителя. Такая психика – главная причина того, что злоумышленники легко добиваются успеха с помощью случайного электронного письма.
Помимо того, что финансовые запросы ставятся под сомнение, лучше попросить о видеовстрече перед “сотрудничеством”. Более того, в большинстве случаев нужно просто внимательно проверить адрес электронной почты. Он может не принадлежать вашей организации или содержать ошибочные варианты названия компании. Кроме того, учреждение не может зарегистрировать все расширения доменов. Поэтому следует остерегаться получения письма с адреса xyz@company.net, когда официальный адрес должен быть xyz@company.com. И наконец, вы можете получать электронные письма с адреса компании, управляемой “извне”, или от недобросовестного сотрудника. Ключевым моментом в такой ситуации является устное подтверждение или информирование нескольких руководителей перед осуществлением платежей. И самый эффективный способ защитить свою организацию, если вы ее возглавляете, – включить моделирование фишинга в рутинное обучение сотрудников. Ведь мошенники постоянно развиваются. Поэтому одноразовое предупреждение мало чем поможет вашим сотрудникам.
Завершаем!
К сожалению, мы сильно зависим от деловой электронной почты, что оставляет злоумышленникам большие лазейки, которыми они часто пользуются. Пока нет замены такой форме общения, мы можем добавлять деловых партнеров в такие приложения, как Slack или даже WhatsApp. Это поможет быстро подтвердить, если что-то покажется подозрительным, и избежать подобных неудач.
