电子邮件是欺诈者和计算机犯罪分子常用的攻击媒介。但是,如果您认为它仅用于传播恶意软件,网络钓鱼和尼日利亚的预付款诈骗,请三思。有一种新的电子邮件驱动的骗局,攻击者会伪装成您的老板,并让您将数千美元的公司资金转移到他们控制的银行帐户中。
这称为CEO Fraud,或“ Insider"
了解攻击
那么,攻击如何进行?好吧,要使攻击者成功实现这一目标,他们需要了解有关他们所针对的公司的很多信息。
许多此类信息都与他们所针对的公司或机构的层次结构有关重新定位。他们需要知道自己将扮演谁。尽管这种骗局被称为“ CEO欺诈",但实际上它以具有高级职位的任何人为目标–任何能够发起付款的人。他们需要知道他们的姓名和电子邮件地址。
最后,他们需要知道组织中的谁能够进行汇款,例如会计师或财务部门的雇员。
许多此类信息可以在有关公司的网站上免费找到。许多中小型公司都有“关于我们"页面,其中列出了员工,他们的角色和职责以及他们的联系信息。
查找某人的日程安排可能会有些困难。绝大多数人不在线公开日历。但是,许多人的确在Twitter,Facebook和Swarm(以前的Foursquare)等社交媒体网站上公开其活动。攻击者只需要等到他们离开办公室就可以罢工。
-Andrew Bolster(@Bolster)2016年1月17日
一旦攻击者有了他进行攻击所需要解决的难题之一,然后他们将向财务员工发送电子邮件,声称自己是CEO,并要求他们向其控制的银行帐户中进行转帐。
工作时,电子邮件必须看起来真实。他们将使用看起来“合法"或合理的电子邮件帐户(例如 [email protected] ),或通过“欺骗" CEO的真实电子邮件。这是发送带有修改后标题的电子邮件的位置,因此“发件人:"字段包含CEO的真实电子邮件。一些积极进取的攻击者将试图诱使CEO向他们发送电子邮件,从而使他们可以复制电子邮件的样式和美感。
攻击者希望财务人员受到压力,在不先检查的情况下发起转移。与目标执行官。这个赌注通常是有回报的,有些公司不知不觉地支付了数十万美元。英国广播公司(BBC)描绘的一家法国公司损失了10万欧元。攻击者试图获得500,000,但除其中一笔付款外,其他所有都被怀疑是欺诈的银行阻止。
社会工程学攻击的工作方式
传统的计算机安全威胁往往是技术性质。因此,您可以采取技术措施来克服这些攻击。如果您感染了恶意软件,则可以安装防病毒程序。如果有人试图入侵您的Web服务器,您可以雇用某人进行渗透测试,并就如何“加固"计算机以抵抗其他攻击向您提供建议。
社会工程攻击-CEO欺诈就是一个例子–很难缓解,因为它们没有攻击系统或硬件。他们在攻击人。他们没有利用代码中的漏洞,而是利用人性和我们本能的生物学优势来信任他人。关于这种攻击的最有趣的解释之一是在2013年的DEFCON会议上做出的。
一些最令人jaw目结舌的大胆黑客是社会工程学的产物。
2012年,前有线记者马特·霍南(Mat Honan)发现自己遭到了坚定的网络犯罪分子的袭击,这些犯罪分子决心拆除他的在线生活。通过使用社交工程策略,他们能够说服亚马逊和苹果公司向他们提供远程擦除MacBook Air和iPhone,删除他的电子邮件帐户并抢占他有影响力的Twitter帐户所需的信息,以便发布种族和同性恋言论。 。您可以在这里阅读令人毛骨悚然的故事。
社会工程学攻击并不是一项新的创新。数十年来,黑客一直在使用它们,以获取对系统,建筑物和信息的访问权限。凯文·米特尼克(Kevin Mitnick)是最臭名昭著的社会工程师之一,他在90年代中期犯下了一系列计算机犯罪后,一直躲在警察后面。他被判入狱五年,直到2003年为止,他一直被禁止使用计算机。随着黑客的不断发展,米特尼克(Mitnick)距离拥有摇滚明星地位就近了。当他最终被允许使用Internet时,它在Leo Laporte的屏幕保护程序中进行了电视转播。
他最终合法了。他现在经营着自己的计算机安全咨询公司,并撰写了许多有关社会工程和黑客的书籍。也许最受关注的是“欺骗的艺术"。本质上,这是一部短篇小说集,着眼于如何展开社会工程学攻击,以及如何保护自己免受攻击,并可以在亚马逊上购买。
关于首席执行官欺诈的应对措施?
所以,让我们回顾一下。我们知道首席执行官欺诈是可怕的。我们知道很多公司要花很多钱。我们知道,很难对付它,因为它是针对人类的攻击,而不是针对计算机的攻击。剩下的最后一件事是我们如何与之抗争。
说起来容易做起来难。如果您是一名雇员,并且收到了老板或老板的可疑付款请求,则可能需要与他们一起检查(使用电子邮件以外的其他方式)以查看其是否真实。他们可能会因为打扰他们而使您烦恼,但是如果您最终将100,000美元的公司资金发送到了一个外国银行帐户,他们可能会更生气。
也有可以使用的技术解决方案。微软即将发布的Office 365更新将通过检查每封电子邮件的来源以查看其是否来自受信任的联系人,从而针对这种类型的攻击提供一些保护措施。 Microsoft认为,他们在Office 365识别伪造或欺骗性电子邮件的方式上已实现500%的改进。
别被ung住
防止这些攻击的最可靠方法是持怀疑态度。每当您收到一封要求您进行大笔转帐的电子邮件时,请致电您的老板以查看是否合法。如果您对IT部门有任何控制权,请考虑要求他们转移到Office 365上,Office 365在与CEO欺诈作斗争时是领头羊。
我当然希望不要,但是请您曾经是出于金钱动机的电子邮件骗局的受害者?如果是这样,我想听听。在下面留下评论,并告诉我发生了什么。
图片来源:AonDollar(您的Anon),Miguel娱乐公司首席执行官(Jorge)
