Den verste typen phishing-svindel er den typen du ikke bare kan ignorere: som CEO Fraud. E-poster angivelig fra myndighetene, som forteller deg å foreta den påvente skatterelaterte betalingen eller risikere rettslige skritt. E-poster som ser ut som skolen eller universitetet din sendte dem, og ba deg betale den ene studieavgiften du gikk glipp av. Eller til og med en melding fra sjefen din eller administrerende direktør, som forteller deg å overføre penger til dem "som en tjeneste".
Hva er CEO Fraud?
CEO-svindelangrepet er en phishing-svindel på e-post der svindlere utgir seg for å være administrerende direktør i et selskap i et forsøk på å overbevise ansatte om å sende penger til dem. E-postene inkluderer vanligvis det virkelige navnet og forretningstittelen til selskapets administrerende direktør.
Problemet med e -post som dette er at de utgir seg for å være en myndighet, enten det er regjeringen, universitetsstyret eller sjefen din på jobb. De er viktige mennesker, og å ignorere meldingene deres vil nesten helt sikkert få alvorlige konsekvenser. Så du er tvunget til å se på dem, og hvis det virker overbevisende nok, kan du faktisk falle for det.
Du er ikke immun mot CEO -svindel
En svindel på 2,3 milliarder dollar hvert år er hva det er. Du lurer kanskje på: "Hva kan muligens få selskaper til å tape så mange penger på en enkel svindel på e -post?" Men du vil bli overrasket over hvor overbevisende e -post om administrerende direktørbedrageri kan være.
I 2016 tapte Mattel nesten 3 millioner dollar til et phishing -angrep da en finansdirektør mottok en e -post fra administrerende direktør, der hun instruerte henne om å sende en betaling til en av deres leverandører i Kina. Men det var først etter å ha sjekket senere med konsernsjefen at hun innså at han aldri hadde sendt e -posten i det hele tatt. Heldigvis jobbet selskapet med rettshåndhevelse i Kina og USA for å få pengene tilbake noen dager senere, men det skjer nesten aldri med disse angrepene.
Folk har en tendens til å tro at disse svindelene ikke vil skje med dem ... før det skjer med dem. Og det er deres største feil: ikke å forberede seg på CEO -svindel.
Phishing -svindel kan ikke bare koste organisasjonen din millioner av dollar, de kan ha en varig innvirkning på omdømmet og troverdigheten til merkevaren din. Du risikerer å bli sett på som selskapet som tapte penger på en svindel via e -post og mistet tilliten til kundene dine hvis sensitive personlige opplysninger du lagrer.
I stedet for å kryptere for å gjøre skadekontroll etter det, er det mye mer fornuftig å sikre e -postkanalene dine mot spyd phishing -svindel som denne. Her er noen av de beste måtene du kan sikre at organisasjonen din ikke blir en statistikk i FBIs rapport om BEC.
Slik forhindrer du CEO -svindel: 6 enkle trinn
- Gi de ansatte opplæring i sikkerhet
Dette er helt avgjørende. Medarbeiderne - og spesielt de som jobber med økonomi - må forstå hvordan Business Email Compromise fungerer. Og da mener vi ikke bare en kjedelig 2-timers presentasjon om at man ikke skal skrive ned passordet sitt på en post-it-lapp. Du må lære dem å se etter mistenkelige tegn på at en e-post er falsk, se etter falske e-postadresser og unormale forespørsler som andre ansatte ser ut til å sende via e-post. - Se opp for tegn på spoofing
E -post svindlere bruker all slags taktikk for å få deg til å etterkomme forespørslene deres. Disse kan variere fra presserende forespørsler/instruksjoner til overføring av penger som en måte å få deg til å handle raskt og uten å tenke, eller til og med be om tilgang til konfidensiell informasjon for et 'hemmelig prosjekt' som de øvre ikke er klare til å dele med deg ennå. Dette er seriøse røde flagg, og du må dobbel- og trippelsjekke før du foretar deg noe i det hele tatt. - Bli beskyttet med DMARC
Den enkleste måten å forhindre phishing-svindel på er å aldri motta e-posten i utgangspunktet. DMARC er en e-postautentiseringsprotokoll som bekrefter e-poster som kommer fra domenet ditt før de leveres. Når du håndhever DMARC på domenet ditt, vil enhver angriper som utgir seg for å være noen fra din egen organisasjon bli oppdaget som en uautorisert avsender, og deres e-post vil bli blokkert fra innboksen din. Du trenger ikke å forholde deg til falske e-poster i det hele tatt.
Lær om hva som er DMARC .
- Få eksplisitt godkjenning for bankoverføringer
Dette er en av de enkleste og mest enkle måtene å forhindre pengeoverføringer til feil mennesker. Gjør det obligatorisk å søke eksplisitt godkjenning fra personen som ber om penger ved å bruke en annen kanal i tillegg til e -post, før du forplikter deg til en transaksjon. For større bankoverføringer, gjør det obligatorisk å motta muntlig bekreftelse. - Flagg e -post med lignende utvidelser
FBI anbefaler organisasjonen din å opprette systemregler som automatisk flagger e -postmeldinger som bruker utvidelser som er for like dine. For eksempel, hvis din bedrift bruker '123-business.com', kan systemet oppdage og flagge e-post ved å bruke utvidelser som '123_business.com'. - Kjøp lignende domenenavn
Angripere bruker ofte lignende domenenavn for å sende phishing-e-post. For eksempel, hvis organisasjonen din har et lite i i navnet, kan de bruke en stor I eller erstatte bokstaven E med tallet 3. Hvis du gjør dette, kan du redusere sjansene for at noen bruker et ekstremt lignende domenenavn for å sende deg e -post.