• Quell'e-mail non era del tuo capo: 6 modi per fermare la frode del CEO

Quell'e-mail non era del tuo capo: 6 modi per fermare la frode del CEO

Blog

Che cos'è la frode CEO? La frode CEO è una delle forme più comuni di Business Email Compromise (BEC). Ecco come prevenire le truffe di phishing via e-mail.

di Ahona Rudra

Ultimo aggiornamento:
5 Tempo di lettura: 5 minuti
Quell'e-mail non era del tuo capo: 6 modi per fermare la frode del CEO
Indice dei contenuti-

Il peggior tipo di truffa di phishing è quello che non si può semplicemente ignorare: come la frode CEO. Le e-mail che si suppone provengano dal governo, che vi dicono di effettuare quel pagamento in sospeso relativo alle tasse o di rischiare un'azione legale. Email che sembrano inviate dalla vostra scuola o università, che vi chiedono di pagare quella retta che non avete pagato. O anche un messaggio del vostro capo o amministratore delegato che vi dice di trasferirgli del denaro "come favore".

 

I punti chiave da prendere in considerazione

  1. Le frodi agli amministratori delegati sono una minaccia significativa che può portare alla perdita di milioni di dollari ogni anno a causa di e-mail di phishing convincenti.
  2. Educare i dipendenti sulle tattiche di phishing e sui segnali di allarme è fondamentale per prevenire gli attacchi di frode dell'amministratore delegato.
  3. I protocolli di autenticazione delle e-mail, come il DMARC, possono aiutare a bloccare le e-mail non autorizzate prima che raggiungano la vostra casella di posta.
  4. Chiedete sempre l'approvazione esplicita attraverso canali alternativi prima di elaborare qualsiasi bonifico richiesto via e-mail.
  5. Monitorare e segnalare le e-mail provenienti da nomi di dominio simili può ridurre il rischio di cadere vittima di tentativi di phishing.

Che cos'è la frode dell'amministratore delegato?

L'attacco di frode CEO è una truffa di phishing via e-mail in cui i truffatori si spacciano per l'amministratore delegato di un'azienda nel tentativo di convincere i dipendenti a inviare denaro a loro. Le e-mail di solito includono il vero nome e il titolo professionale dell'amministratore delegato dell'azienda.

Il problema con e-mail come questa è che stanno impersonando una figura di autorità, che sia il governo, il tuo consiglio universitario o il tuo capo al lavoro. Queste sono persone importanti, e ignorare i loro messaggi avrà quasi certamente gravi conseguenze. Quindi sei costretto a guardarle, e se sembra abbastanza convincente, potresti anche cascarci.

Proteggetevi dalle frodi dei CEO con PowerDMARC!

Prova di 15 giorniPrenota una demo

Non sei immune alle frodi dei CEO

Una truffa da 2,3 miliardi di dollari ogni anno, ecco cos'è. Vi starete chiedendo: "Cosa potrebbe mai far perdere alle aziende così tanti soldi per una semplice truffa via e-mail?" Ma saresti sorpreso di quanto possano essere convincenti le email di frode dei CEO.

Nel 2016, Mattel ha quasi perso 3 milioni di dollari a causa di un attacco di phishing quando un dirigente finanziario ha ricevuto una e-mail dal CEO, che la istruiva a inviare un pagamento a uno dei loro fornitori in Cina. Ma è stato solo dopo aver controllato più tardi con il CEO che si è resa conto che non aveva mai inviato l'e-mail. Per fortuna, l'azienda ha lavorato con le forze dell'ordine in Cina e negli Stati Uniti per riavere i loro soldi pochi giorni dopo, ma questo non succede quasi mai con questi attacchi.

La gente tende a credere che queste truffe non accadranno a loro... finché non accadono a loro. E questo è il loro più grande errore: non prepararsi alla frode del CEO.

Le truffe di phishing non solo possono costare milioni di dollari alla vostra organizzazione, ma possono avere un impatto duraturo sulla reputazione e sulla credibilità del vostro marchio. Questo è particolarmente vero per settori come quello legale, dove la fiducia e la visibilità online vanno di pari passo, e dove solide pratiche di SEO legale possono tranquillamente influenzare il modo in cui i potenziali clienti trovano e giudicano il vostro studio. Correte il rischio di essere visti come l'azienda che ha perso denaro a causa di una truffa via e-mail e di perdere la fiducia dei vostri clienti di cui conservate i dati personali sensibili.

Invece di rimuginare sul controllo dei danni dopo il fatto, ha molto più senso proteggere i vostri canali e-mail contro le truffe di spear phishing come questa. Ecco alcuni dei modi migliori per garantire che la vostra organizzazione non diventi una statistica nel rapporto dell'FBI sul BEC.

Come prevenire le frodi degli amministratori delegati: 6 semplici passi

  1. Educare il personale alla sicurezza
    Questo punto è assolutamente fondamentale. I membri della vostra forza lavoro, in particolare quelli del settore finanziario, devono capire come funziona la Business Email Compromise. E non si tratta solo di una noiosa presentazione di due ore su come non scrivere la password su un post-it. È necessario istruirli su come individuare i segnali sospetti che indicano che un'e-mail è falsa, fare attenzione agli indirizzi e-mail contraffatti e alle richieste anomale che altri membri del personale sembrano fare tramite e-mail.
  2. Attenzione ai segni rivelatori dello spoofing
    I truffatori via e-mail utilizzano ogni tipo di tattica per indurvi a soddisfare le loro richieste. Queste possono spaziare da richieste/istruzioni urgenti di trasferimento di denaro per indurvi ad agire rapidamente e senza riflettere, fino alla richiesta di accesso a informazioni riservate per un "progetto segreto" che i piani alti non sono ancora pronti a condividere con voi. Si tratta di gravi segnali di allarme e dovete controllare due e tre volte prima di intraprendere qualsiasi azione.
  3. Proteggetevi con DMARC
    Il modo più semplice per prevenire una truffa di phishing è quello di non ricevere mai l'e-mail. Il DMARC è un protocollo di autenticazione delle e-mail che verifica le e-mail provenienti dal vostro dominio prima di recapitarle. Se applicate il DMARC sul vostro dominio, qualsiasi aggressore che si spacci per qualcuno della vostra organizzazione verrà rilevato come mittente non autorizzato e le sue e-mail verranno bloccate dalla vostra casella di posta. Non dovrete più avere a che fare con le e-mail contraffatte.

Scoprite cos'è il DMARC.

  1. Ottenere l'approvazione esplicita per i bonifici bancari
    Questo è uno dei modi più semplici e diretti per evitare trasferimenti di denaro a persone sbagliate. Prima di impegnarsi in una transazione, è obbligatorio chiedere l'approvazione esplicita della persona che richiede il denaro utilizzando un altro canale oltre all'e-mail. Per i bonifici più consistenti, è obbligatorio ricevere una conferma verbale. Molte aziende utilizzano anche carte di credito protette come alternativa ai bonifici, offrendo una migliore protezione dalle frodi.
  2. Segnalare le e-mail con estensioni simili
    L'FBI raccomanda che la vostra organizzazione crei regole di sistema che segnalino automaticamente le e-mail che usano estensioni troppo simili alle vostre. Per esempio, se la tua azienda usa '123-business.com', il sistema potrebbe rilevare e segnalare le email che usano estensioni come '123_business.com'.
  3. Acquistare nomi di dominio simili
    Gli aggressori utilizzano spesso nomi di dominio simili per inviare e-mail di phishing. Ad esempio, se la vostra organizzazione ha una "i" minuscola nel suo nome, potrebbero utilizzare una "I" maiuscola o sostituire la lettera "E" con il numero "3". In questo modo si ridurranno le possibilità che qualcuno utilizzi un nome di dominio estremamente simile per inviarvi e-mail.

Ultimi messaggi di Ahona Rudra (vedi tutti)
Ultimo aggiornamento:
Perché SPF non è abbastanza buono per fermare lo spoofingblog sulla limitazione degli spfpowerdmarc configura il post sul blogPartnership PowerDMARC con Config