Stanowiska

Czy wiesz, co jest najgorszym rodzajem oszustwa phishingowego? Taki, którego nie można po prostu zignorować: na przykład CEO Fraud. E-maile rzekomo od rządu, które informują Cię o konieczności uiszczenia zaległej opłaty podatkowej lub ryzykujesz podjęcie kroków prawnych. E-maile, które wyglądają tak, jakby wysłała je Twoja szkoła lub uniwersytet, z prośbą o zapłacenie tego jednego czesnego, które przegapiłeś. Albo nawet wiadomość od Twojego szefa lub dyrektora generalnego, z prośbą o przelanie pieniędzy "w ramach przysługi".

Problem z tego typu mailami polega na tym, że podszywają się one pod autorytet, niezależnie od tego, czy jest to rząd, rada uczelni, czy szef w pracy. Są to ważne osoby, a zignorowanie ich wiadomości prawie na pewno będzie miało poważne konsekwencje. Jesteś więc zmuszony do zapoznania się z nimi, a jeśli wydają się wystarczająco przekonujące, możesz się na nie nabrać.

Przyjrzyjmy się jednak oszustwu CEO. Co to dokładnie jest? Czy może przydarzyć się Tobie? A jeśli tak, co powinieneś zrobić, aby temu zapobiec?

Nie jesteś odporny na oszustwa CEO

Jest tooszustwo warte 2,3 miliarda dolarów rocznie. Możesz się zastanawiać: "Co może sprawić, że firmy stracą tyle pieniędzy na zwykłe oszustwo mailowe?". Ale zdziwilibyście się, jak przekonujące mogą być e-maile z oszustwami CEO.

W 2016 r. firma Mattel prawie straciła 3 miliony dolarów w wyniku ataku phishingowego, gdy pracownik działu finansowego otrzymał e-mail od dyrektora generalnego, instruujący go, jak wysłać płatność do jednego z dostawców w Chinach. Jednak dopiero po późniejszym kontakcie z prezesem firmy zorientowała się, że w ogóle nie wysłał on tego e-maila. Na szczęście, firma współpracowała z organami ścigania w Chinach i USA, aby odzyskać swoje pieniądze kilka dni później, ale to prawie nigdy nie zdarza się w przypadku takich ataków.

Ludzie mają tendencję do wierzenia, że te oszustwa im się nie przydarzą... dopóki im się to nie przytrafi. I to jest ich największy błąd: nieprzygotowanie się na oszustwo CEO.

Oszustwa phishingowe mogą nie tylko kosztować Twoją organizację miliony dolarów, ale mogą mieć trwały wpływ na reputację i wiarygodność Twojej marki. Istnieje ryzyko, że będziesz postrzegany jako firma, która straciła pieniądze w wyniku oszustwa e-mailowego i utracisz zaufanie swoich klientów, których wrażliwe dane osobowe przechowujesz.

Zamiast zajmować się likwidacją szkód po fakcie, warto zabezpieczyć swoje kanały mailowe przed oszustwami typu spear phishing. Oto kilka najlepszych sposobów na to, aby Twoja organizacja nie stała się statystką w raporcie FBI na temat BEC.

Jak zapobiegać oszustwom prezesów: 6 prostych kroków

  1. Szkolić pracowników w zakresie bezpieczeństwa
    Ta kwestia jest absolutnie kluczowa. Pracownicy, a zwłaszcza ci z działu finansowego, muszą zrozumieć, jak działa Business Email Compromise. I nie chodzi tu tylko o nudną, dwugodzinną prezentację o tym, że nie należy zapisywać hasła na karteczce samoprzylepnej. Musisz ich przeszkolić, jak zwracać uwagę na podejrzane znaki wskazujące na to, że wiadomość e-mail jest fałszywa, zwracać uwagę na fałszywe adresy e-mail i nietypowe żądania, które inni pracownicy wydają się zgłaszać za pośrednictwem poczty elektronicznej.
  2. Zwróćuwagę na charakterystyczne oznaki spoofingu
    Oszuści wysyłający wiadomości e-mail stosują różnego rodzaju taktyki, aby skłonić Cię do spełnienia ich żądań. Mogą to być np. pilne prośby/instrukcje dotyczące przelewu pieniędzy, które mają skłonić Cię do szybkiego i bezrefleksyjnego działania, a nawet prośby o dostęp do poufnych informacji dotyczących "tajnego projektu", którymi wyżsi rangą pracownicy nie są jeszcze gotowi się z Tobą podzielić. To są poważne czerwone flagi i musisz sprawdzić dwa i trzy razy, zanim podejmiesz jakiekolwiek działania.
  3. Zapewnij sobie ochronę dzięki DMARC
    Najprostszym sposobem na uniknięcie oszustwa phishingowego jest w ogóle nie otrzymywać wiadomości e-mail. DMARC to protokół uwierzytelniania poczty elektronicznej, który weryfikuje wiadomości e-mail pochodzące z Twojej domeny przed ich dostarczeniem. Kiedy egzekwujesz DMARC w swojej domenie, każdy atakujący podszywający się pod kogoś z Twojej organizacji zostanie wykryty jako nieautoryzowany nadawca, a jego email zostanie zablokowany w Twojej skrzynce odbiorczej. Nie musisz już w ogóle zajmować się spamowanymi mailami.
  4. Uzyskaj wyraźną zgodę na przelewybankowe
    Jest to jeden z najłatwiejszych i najbardziej bezpośrednich sposobów zapobiegania przelewom pieniędzy do niewłaściwych osób. Przed dokonaniem jakiejkolwiek transakcji, wprowadź obowiązek uzyskania wyraźnej zgody od osoby żądającej pieniędzy za pomocą innego kanału niż e-mail. W przypadku większych przelewów, wprowadź obowiązek otrzymania ustnego potwierdzenia.
  5. Flagowanie e-maili z podobnymi rozszerzeniami
    FBI zaleca, aby Twoja organizacja stworzyła reguły systemowe, które automatycznie oznaczają wiadomości e-mail używające rozszerzeń zbyt podobnych do Twoich własnych. Na przykład, jeśli Twoja firma używa rozszerzenia "123-business.com", system może wykrywać i oznaczać e-maile używające rozszerzeń takich jak "123_business.com".
  6. Kupuj podobne nazwy domen
    Atakujący często wykorzystują podobnie wyglądające nazwy domen do wysyłania wiadomości phishingowych. Na przykład, jeśli Twoja organizacja ma w swojej nazwie małą literę "i", mogą oni użyć dużej litery "I" lub zastąpić literę "E" liczbą "3". Dzięki temu zmniejszysz szanse na to, że ktoś użyje bardzo podobnej nazwy domeny, aby wysłać do Ciebie e-mail.