Ten e-mail nie był od szefa: 6 sposobów na powstrzymanie oszustwa CEO
przez
Ostatnia aktualizacja: Czas odczytu: 5 min
Najgorszy rodzaj oszustwa phishingowego to taki, którego nie możesz po prostu zignorować: jak CEO Fraud. E-maile pochodzące rzekomo od rządu, które każą Ci dokonać zaległej płatności związanej z podatkiem lub zaryzykować postępowanie sądowe. E-maile, które wyglądają jakby wysłała je Twoja szkoła lub uniwersytet, prosząc Cię o zapłacenie tej jednej opłaty za naukę, którą przeoczyłeś. Albo nawet wiadomość od Twojego szefa lub CEO, mówiąca o przelaniu im pieniędzy "jako przysługi".
Kluczowe wnioski
- Oszustwa CEO są poważnym zagrożeniem, które może prowadzić do utraty milionów dolarów każdego roku z powodu przekonujących wiadomości phishingowych.
- Edukacja pracowników w zakresie taktyk phishingowych i znaków ostrzegawczych ma kluczowe znaczenie dla zapobiegania atakom typu CEO fraud.
- Protokoły uwierzytelniania poczty elektronicznej, takie jak DMARC, mogą pomóc w blokowaniu nieautoryzowanych wiadomości e-mail, zanim dotrą one do skrzynki odbiorczej.
- Zawsze należy uzyskać wyraźną zgodę za pośrednictwem alternatywnych kanałów przed przetworzeniem jakichkolwiek przelewów bankowych żądanych za pośrednictwem poczty elektronicznej.
- Monitorowanie i oznaczanie wiadomości e-mail z podobnych nazw domen może zmniejszyć ryzyko padnięcia ofiarą prób phishingu.
Co to jest CEO Fraud?
Atak typu CEO fraud to oszustwo typu e-mail phishing, w którym oszuści podszywają się pod prezesa firmy, próbując przekonać pracowników do wysłania im pieniędzy. Wiadomości e-mail zazwyczaj zawierają prawdziwe nazwisko i tytuł służbowy prezesa firmy.
Problem z tego typu mailami polega na tym, że podszywają się one pod autorytet, niezależnie od tego, czy jest to rząd, rada uczelni, czy szef w pracy. Są to ważne osoby, a zignorowanie ich wiadomości prawie na pewno będzie miało poważne konsekwencje. Jesteś więc zmuszony do zapoznania się z nimi, a jeśli wydają się wystarczająco przekonujące, możesz się na nie nabrać.
Ochrona przed oszustwami CEO dzięki PowerDMARC!
Nie jesteś odporny na oszustwa CEO
Jest tooszustwo warte 2,3 miliarda dolarów rocznie. Możesz się zastanawiać: "Co może sprawić, że firmy stracą tyle pieniędzy na zwykłe oszustwo mailowe?". Ale zdziwilibyście się, jak przekonujące mogą być e-maile z oszustwami CEO.
W 2016 r. firma Mattel prawie straciła 3 miliony dolarów w wyniku ataku phishingowego, gdy pracownik działu finansowego otrzymał e-mail od dyrektora generalnego, instruujący go, jak wysłać płatność do jednego z dostawców w Chinach. Jednak dopiero po późniejszym kontakcie z prezesem firmy zorientowała się, że w ogóle nie wysłał on tego e-maila. Na szczęście, firma współpracowała z organami ścigania w Chinach i USA, aby odzyskać swoje pieniądze kilka dni później, ale to prawie nigdy nie zdarza się w przypadku takich ataków.
Ludzie mają tendencję do wierzenia, że te oszustwa im się nie przydarzą... dopóki im się to nie przytrafi. I to jest ich największy błąd: nieprzygotowanie się na oszustwo CEO.
Oszustwa phishingowe mogą nie tylko kosztować organizację miliony dolarów, ale także mieć trwały wpływ na reputację i wiarygodność marki. Jest to szczególnie prawdziwe w przypadku sektorów takich jak prawo, gdzie zaufanie i widoczność w Internecie idą w parze - i gdzie silne praktyki prawne SEO mogą po cichu kształtować sposób, w jaki potencjalni klienci znajdują i oceniają Twoją firmę. Istnieje ryzyko, że będziesz postrzegany jako firma, która straciła pieniądze w wyniku oszustwa e-mailowego i straci zaufanie klientów, których poufne dane osobowe przechowujesz.
Zamiast zajmować się likwidacją szkód po fakcie, warto zabezpieczyć swoje kanały mailowe przed oszustwami typu spear phishing. Oto kilka najlepszych sposobów na to, aby Twoja organizacja nie stała się statystką w raporcie FBI na temat BEC.
Jak zapobiegać oszustwom prezesów: 6 prostych kroków
- Edukacja pracowników w zakresie bezpieczeństwa
Ta kwestia jest absolutnie kluczowa. Członkowie personelu - a zwłaszcza ci z działu finansów - muszą zrozumieć, jak działa Business Email Compromise. I nie mamy tu na myśli tylko nudnej dwugodzinnej prezentacji o tym, że nie należy zapisywać hasła na karteczce samoprzylepnej. Musisz przeszkolić ich, jak zwracać uwagę na podejrzane oznaki, że wiadomość e-mail jest fałszywa, zwracać uwagę na fałszywe adresy e-mail i nietypowe prośby, które inni pracownicy wydają się wysyłać za pośrednictwem poczty elektronicznej. - Uważaj na charakterystyczne oznaki spoofingu
Oszuści e-mailowi stosują różnego rodzaju taktyki, aby skłonić użytkownika do spełnienia ich żądań. Mogą one obejmować pilne prośby/instrukcje dotyczące przelewu pieniędzy, aby skłonić cię do szybkiego i bezmyślnego działania, a nawet prośbę o dostęp do poufnych informacji na temat "tajnego projektu", którym przełożeni nie są jeszcze gotowi się z tobą podzielić. Są to poważne sygnały ostrzegawcze i przed podjęciem jakichkolwiek działań należy je dokładnie sprawdzić. - Uzyskaj ochronę dzięki DMARC
Najprostszym sposobem na uniknięcie oszustwa phishingowego jest nieotrzymanie wiadomości e-mail w ogóle. DMARC to protokół uwierzytelniania poczty elektronicznej, który weryfikuje wiadomości e-mail pochodzące z Twojej domeny przed ich dostarczeniem. Gdy wymusisz DMARC na swojej domenie, każdy atakujący podszywający się pod kogoś z Twojej organizacji zostanie wykryty jako nieautoryzowany nadawca, a jego poczta zostanie zablokowana w Twojej skrzynce odbiorczej. Nie musisz w ogóle zajmować się spoofed emailami.
Dowiedz się, czym jest DMARC.
- Uzyskaj wyraźną zgodę na przelewy bankowe
Jest to jeden z najłatwiejszych i najprostszych sposobów zapobiegania przelewom pieniędzy do niewłaściwych osób. Przed przystąpieniem do jakiejkolwiek transakcji należy obowiązkowo uzyskać wyraźną zgodę od osoby żądającej pieniędzy za pomocą innego kanału niż e-mail. W przypadku większych przelewów obowiązkowe jest otrzymanie ustnego potwierdzenia. Wiele firm korzysta również z zabezpieczonych kart kredytowych jako alternatywy dla przelewów bankowych, zapewniając lepszą ochronę przed oszustwami. - Flagowanie e-maili z podobnymi rozszerzeniami
FBI zaleca, aby Twoja organizacja stworzyła reguły systemowe, które automatycznie oznaczają wiadomości e-mail używające rozszerzeń zbyt podobnych do Twoich własnych. Na przykład, jeśli Twoja firma używa rozszerzenia "123-business.com", system może wykrywać i oznaczać e-maile używające rozszerzeń takich jak "123_business.com". - Kupowanie podobnych nazw domen
Atakujący często używają podobnie wyglądających nazw domen do wysyłania wiadomości phishingowych. Na przykład, jeśli Twoja organizacja ma w nazwie małą literę "i", mogą użyć wielkiej litery "I" lub zastąpić literę "E" cyfrą "3". Pomoże to zmniejszyć szanse na to, że ktoś użyje bardzo podobnej nazwy domeny do wysyłania wiadomości e-mail.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.
Latest posts by Ahona Rudra (zobacz wszystkie)
- Czy szyfrowanie wiadomości e-mail w programie Outlook jest zgodne z HIPAA? Kompletny przewodnik na rok 2026 – 5 marca 2026 r.
- Ataki socjotechniczne typu „quid pro quo”: jak działają i jak je powstrzymać – 3 marca 2026 r.
- 5 rozwiązań do zarządzania ryzykiem dostawców dla przedsiębiorstw: porównanie platform TPRM 2026 – 3 marca 2026 r.
