Худший вид фишинговых афер - это тот, который нельзя просто проигнорировать: например, CEO Fraud. Электронные письма якобы от правительства, в которых вас просят сделать отложенный платеж, связанный с налогами, или рискуют судебным разбирательством. Электронные письма, которые выглядят так, будто их прислала ваша школа или университет, с просьбой оплатить тот единственный платеж за обучение, который вы пропустили. Или даже сообщение от вашего начальника или генерального директора, в котором вас просят перевести им деньги "в качестве одолжения".
Что такое мошенничество руководителей?
Атака мошенников на генерального директора - это фишинговое мошенничество с использованием электронной почты, когда мошенники выдают себя за генерального директора компании, пытаясь убедить сотрудников отправить им деньги. В электронных письмах обычно указывается настоящее имя и должность генерального директора компании.
Проблема электронных писем в том, что они выдают себя за авторитетную фигуру, будь то правительство, университетский совет или начальник на работе. Это важные люди, и игнорирование их сообщений почти наверняка будет иметь серьезные последствия. Поэтому вы вынуждены смотреть на них, и если это кажется достаточно убедительным, вы можете на самом деле влюбиться в них.
Ты не застрахован от мошенничества с генеральным директором
Афера на 2,3 миллиарда долларов каждый год - вот что это такое. Вы можете задаться вопросом: "Что может заставить компании потерять столько денег в результате простого мошенничества с электронной почтой?". Но вы удивитесь, насколько убедительными могут быть сообщения о мошенничестве, рассылаемые генеральным директором.
В 2016 году компания Mattel чуть не потеряла 3 миллиона долларов в результате фишинговой атаки, когда финансовый директор получил письмо по электронной почте от генерального директора, в котором ей было дано указание отправить платеж одному из их поставщиков в Китае. Но только после того, как она узнала об этом позже у генерального директора, она поняла, что он вообще никогда не отправлял это электронное письмо. К счастью, компания работала с правоохранительными органами Китая и США, чтобы вернуть их деньги через несколько дней, но этого почти никогда не происходит с этими атаками.
Люди склонны верить, что эти аферы с ними не случится... пока это с ними не случится. И это их самая большая ошибка: не готовиться к мошенничеству с генеральным директором.
Фишинговые аферы могут не только стоить вашей организации миллионы долларов, они могут оказать длительное влияние на репутацию и авторитет вашего бренда. Вы рискуете стать компанией, которая потеряла деньги в результате мошенничества с электронной почтой, и потерять доверие ваших клиентов, чью конфиденциальную личную информацию вы храните.
Вместо того, чтобы шифровать, чтобы сделать контроль повреждений после того, как факт, это имеет гораздо больше смысла, чтобы защитить ваши каналы электронной почты от копьевого фишинга мошенничества, как этот. Вот некоторые из лучших способов убедиться в том, что ваша организация не попадет в статистику в отчете ФБР по BEC.
Как предотвратить мошенничество генерального директора: 6 простых шагов
- Обучение персонала мерам безопасности
Этот пункт абсолютно важен. Сотрудники - особенно те, кто работает в финансовой сфере, - должны понимать, как работает компрометация деловой электронной почты. И мы имеем в виду не просто скучную двухчасовую презентацию о том, что нельзя записывать пароль на стикере. Необходимо научить их обращать внимание на подозрительные признаки того, что письмо является поддельным, искать поддельные адреса электронной почты и нестандартные запросы, которые другие сотрудники, похоже, делают через электронную почту. - Обращайте внимание на признаки подделки
Мошенники по электронной почте используют самые разные тактики, чтобы заставить вас выполнить их просьбы. Они могут варьироваться от срочных просьб/инструкций о переводе денег, чтобы заставить вас действовать быстро и не задумываясь, до просьб о доступе к конфиденциальной информации для "секретного проекта", которым высшее руководство еще не готово поделиться с вами. Это серьезные тревожные сигналы, и вам нужно дважды и трижды проверить, прежде чем предпринимать какие-либо действия. - Защититесь с помощью DMARC
Самый простой способ предотвратить фишинговую аферу - это вообще не получать письмо. DMARC - это протокол аутентификации электронной почты, который проверяет электронные письма, приходящие из вашего домена, перед их отправкой. Если вы внедрите DMARC на своем домене, любой злоумышленник, выдающий себя за представителя вашей организации, будет распознан как неавторизованный отправитель, и его электронная почта будет заблокирована в вашем почтовом ящике. Вам вообще не придется иметь дело с поддельными письмами.
Узнайте о том, что такое DMARC.
- Получите однозначное разрешение на электронные переводы
Это один из самых простых и понятных способов предотвратить перевод денег не тем людям. Прежде чем совершить какую-либо операцию, сделайте обязательным получение явного одобрения от лица, запрашивающего деньги, используя другой канал, кроме электронной почты. Для крупных денежных переводов сделайте обязательным получение устного подтверждения. - Отмечайте письма с похожими расширениями
ФБР рекомендует вашей организации создать системные правила, которые будут автоматически отмечать электронные письма, использующие расширения, слишком похожие на ваши собственные. Например, если ваша компания использует "123-business.com", система может обнаружить и отметить письма с расширениями типа "123_business.com". - Приобретение похожих доменных имен
Злоумышленники часто используют схожие доменные имена для рассылки фишинговых писем. Например, если в названии вашей организации есть строчная буква "i", злоумышленники могут использовать прописную "I" или заменить букву "E" на цифру "3". Это позволит снизить вероятность того, что кто-то использует очень похожее доменное имя для рассылки писем.
- Рост числа налоговых мошенничеств и атак, выдающих себя за сотрудников налоговой службы по электронной почте, в период налогового сезона - 2 мая 2024 г.
- Безопасность электронной почты 101 для борьбы с криптовалютными мошенниками - 30 апреля 2024 г.
- Как найти лучшего поставщика решений DMARC для вашего бизнеса? - 25 апреля 2024 г.