Denne e-mail var ikke fra din chef: 6 måder at stoppe CEO Svig
Den værste form for phishing-svindel er den slags svindel, som du ikke bare kan ignorere: som CEO-svindel. E-mails, der angiveligt kommer fra myndighederne, og som fortæller dig, at du skal foretage den udestående skatterelaterede betaling eller risikere retslige skridt. E-mails, der ser ud, som om det er din skole eller dit universitet, der har sendt dem, og som beder dig om at betale det ene undervisningsgebyr, du har glemt at betale. Eller endda en besked fra din chef eller administrerende direktør, der beder dig om at overføre nogle penge til dem "som en tjeneste".
Hvad er CEO-svindel?
CEO-angreb er et phishing-svindelnummer, hvor svindlere udgiver sig for at være virksomhedens administrerende direktør i et forsøg på at overbevise medarbejderne om at sende penge til dem. E-mails indeholder typisk virksomhedens CEO's rigtige navn og titel.
Problemet med e-mails som denne er, at de udgiver sig for at være en autoritetsfigur, uanset om det er regeringen, din universitetsbestyrelse eller din chef på arbejdspladsen. Det er vigtige mennesker, og det vil næsten helt sikkert få alvorlige konsekvenser at ignorere deres budskaber. Så du er tvunget til at se på dem, og hvis det virker overbevisende nok, kan du faktisk falde for det.
Du er ikke immun over for ceo bedrageri
En 2.300 millioner dollars fidus hvert år er, hvad det er. Du undrer dig måske over, "Hvad kan muligvis få virksomheder til at miste så mange penge til en simpel e-mail-fidus?" Men du vil blive overrasket over, hvor overbevisende CEO svig e-mails kan være.
I 2016 mistede Mattel næsten $ 3 millioner til et phishing-angreb, da en økonomichef modtog en e-mail fra den administrerende direktør og instruerede hende om at sende en betaling til en af deres leverandører i Kina. Men det var først efter at have tjekket senere med den administrerende direktør, at hun indså, at han aldrig havde sendt e-mailen overhovedet. Heldigvis arbejdede virksomheden med retshåndhævelse i Kina og USA for at få deres penge tilbage et par dage senere, men det sker næsten aldrig med disse angreb.
Folk har en tendens til at tro, at disse svindelnumre ikke vil ske for dem ... indtil det sker for dem. Og det er deres største fejl: ikke at forberede sig på ceo svig.
Phishing-svindel kan ikke kun koste din organisation millioner af dollars, de kan have en varig indvirkning på omdømmet og troværdigheden af dit brand. Du risikerer at blive set som det firma, der mistede penge til en e-mail-fidus og miste tilliden hos dine kunder, hvis følsomme personlige oplysninger du gemmer.
I stedet for travlt med at gøre skadeskontrol efter det faktum, giver det meget mere mening at sikre dine e-mail-kanaler mod spyd phishing-svindel som denne. Her er nogle af de bedste måder, du kan sikre, at din organisation ikke bliver en statistik i FBI's rapport om BEC.
Sådan forhindrer du svindel med administrerende direktører: 6 enkle trin
- Uddan dine medarbejdere i sikkerhed
Dette er helt afgørende. Medlemmerne af din arbejdsstyrke - og især dem i økonomiafdelingen - skal forstå, hvordan Business Email Compromise fungerer. Og vi mener ikke bare en kedelig 2-timers præsentation om ikke at skrive sin adgangskode ned på en post-it. Du er nødt til at træne dem i at holde øje med mistænkelige tegn på, at en e-mail er falsk, holde øje med falske e-mailadresser og unormale anmodninger, som andre medarbejdere ser ud til at komme med via e-mail. - Hold øje med afslørende tegn på spoofing
E-mail-svindlere bruger alle former for taktik for at få dig til at overholde deres anmodninger. Disse kan variere fra presserende anmodninger / instruktioner til at overføre penge som en måde at få dig til at handle hurtigt og uden at tænke, eller endda bede om adgang til fortrolige oplysninger for et "hemmeligt projekt", at de højere-ups ikke er klar til at dele med dig endnu. Dette er alvorlige røde flag, og du skal fordoble og tredobbelt kontrollere, før du overhovedet foretager dig noget. - Bliv beskyttet med DMARC
Den nemmeste måde at forhindre phishing-svindel på er at undgå at modtage e-mailen i første omgang. DMARC er en protokol til godkendelse af e-mail, der verificerer e-mails fra dit domæne, før de leveres. Når du håndhæver DMARC på dit domæne, vil enhver angriber, der udgiver sig for at være en person fra din egen organisation, blive opdaget som en uautoriseret afsender, og deres e-mail vil blive blokeret fra din indbakke. Du behøver slet ikke at beskæftige dig med spoofede e-mails.
Få mere at vide om, hvad DMARC er.
- Få udtrykkelig godkendelse af bankoverførsler
Dette er en af de nemmeste og mest enkle måder at forhindre pengeoverførsler til de forkerte mennesker. Før du forpligter dig til en transaktion, skal du gøre det obligatorisk at søge eksplicit godkendelse fra den person, der anmoder om penge ved hjælp af en anden kanal udover e-mail. Ved større bankoverførsler skal du gøre det obligatorisk at modtage mundtlig bekræftelse. - Markér e-mails med lignende udvidelser
FBI anbefaler, at din organisation opretter systemregler, der automatisk markerer e-mails, der bruger udvidelser, der ligner din egen. Hvis din virksomhed f.eks. bruger '123-business.com', kan systemet registrere og markere e-mails ved hjælp af udvidelser som '123_business.com'. - Køb lignende domænenavne
Angribere bruger ofte domænenavne, der ligner hinanden, til at sende phishing-mails. Hvis din organisation f.eks. har et lille 'i' i sit navn, bruger de måske et stort 'I' eller erstatter bogstavet 'E' med tallet '3'. Hvis du gør dette, mindsker du risikoen for, at nogen bruger et domænenavn, der ligner dig ekstremt meget, til at sende dig e-mails.
- Google inkluderer ARC i 2024-retningslinjer for e-mailafsendere - 8. december 2023
- Websikkerhed 101 - bedste praksis og løsninger - 29. november 2023
- Hvad er e-mail-kryptering, og hvad er dens forskellige typer? - 29. november 2023