Inlägg

Vet du vad som är den värsta typen av phishing-bedrägeri? Den sorten som du inte bara kan ignorera: som VD Fraud. E-postmeddelanden som påstås komma från regeringen och som säger åt dig att göra den väntande skatterelaterade betalningen eller riskera rättsliga åtgärder. E-postmeddelanden som ser ut som din skola eller ditt universitet skickade dem och bad dig att betala den enda studieavgiften du missade. Eller till och med ett meddelande från din chef eller VD, som säger åt dig att överföra dem lite pengar "som en tjänst".

Problemet med e-postmeddelanden som detta är att de utger sig för att vara en myndighetsfigur, oavsett om det är regeringen, din universitetsstyrelse eller din chef på jobbet. Det är viktiga människor, och att ignorera deras budskap kommer med största sannolikhet att få allvarliga konsekvenser. Så du är tvungen att titta på dem, och om det verkar övertygande nog, kan du faktiskt falla för det.

Men låt oss ta en titt på VD-bedrägeri. Vad exakt är det? Kan det hända dig? Och om det kan, vad ska du göra för att stoppa det?

Du är inte immun mot VD-bedrägeri

En bedrägeri på 2,3 miljarder dollar varje år är vad den är. Du kanske undrar, "Vad kan få företag att förlora så mycket pengar till en enkel e-postbedrägeri?" Men du skulle bli förvånad över hur övertygande VD-bedrägerimeddelanden kan vara.

År 2016 förlorade Mattel nästan 3 miljoner dollar till en phishing-attack när en finanschef fick ett e-postmeddelande från VD och instruerade henne att skicka en betalning till en av deras leverantörer i Kina. Men det var först efter att ha kollat senare med VD som hon insåg att han aldrig hade skickat e-postmeddelandet alls. Tack och lov arbetade företaget med brottsbekämpning i Kina och USA för att få tillbaka sina pengar några dagar senare, men det händer nästan aldrig med dessa attacker.

Folk tenderar att tro att dessa bedrägerier inte kommer att hända dem ... tills det händer dem. Och det är deras största misstag: att inte förbereda sig för VD-bedrägeri.

Phishing-bedrägerier kan inte bara kosta din organisation miljontals dollar, de kan ha en varaktig inverkan på ditt varumärkes rykte och trovärdighet. Du riskerar att ses som det företag som förlorade pengar till en e-postbedrägeri och förlora förtroendet för dina kunder vars känsliga personliga information du lagrar.

Istället för att skynda sig att göra skadekontroll i efterhand är det mycket mer meningsfullt att säkra dina e-postkanaler mot spear phishing-bedrägerier som den här. Här är några av de bästa sätten du kan se till att din organisation inte blir en statistik i FBI: s rapport om BEC.

Hur man förhindrar VD-bedrägeri: 6 enkla steg

  1. Utbilda din personal om säkerhet
    Den här är helt avgörande. Medlemmar av din personal – och särskilt de som arbetar med ekonomi – måste förstå hur Business Email Compromise fungerar. Och vi menar inte bara en tråkig 2-timmars presentation om att inte skriva ner ditt lösenord på en post-it-anteckning. Du måste träna dem på hur du ska se upp för misstänkta tecken på att ett e-postmeddelande är falskt, se upp för falska e-postadresser och onormala förfrågningar som andra anställda verkar göra via e-post.
  2. Se upp för telltale tecken på förfalskning
    E-postbedragare använder alla typer av taktiker för att få dig att följa deras förfrågningar. Dessa kan sträcka sig från brådskande förfrågningar / instruktioner för att överföra pengar som ett sätt att få dig att agera snabbt och utan att tänka, eller ens be om tillgång till konfidentiell information för ett "hemligt projekt" som de högre upp inte är redo att dela med dig ännu. Det här är allvarliga röda flaggor, och du måste dubbel- och trippelkolla innan du vidtar några åtgärder alls.
  3. Bli skyddad med DMARC
    Det enklaste sättet att förhindra en phishing-bedrägeri är att aldrig ens få e-postmeddelandet i första hand. DMARC är ett e-postautentiseringsprotokoll som verifierar e-postmeddelanden som kommer från din domän innan de levereras. När du tillämpar DMARC på din domänkommer alla angripare som utger sig för att vara någon från din egen organisation att upptäckas som en obehörig avsändare och deras e-post kommer att blockeras från din inkorg. Du behöver inte ta itu med falska e-postmeddelanden alls.
  4. Få uttryckligt godkännande för banköverföringar
    Detta är ett av de enklaste och enklaste sätten att förhindra pengaöverföringar till fel personer. Innan du förbinder dig till någon transaktion, gör det obligatoriskt att söka uttryckligt godkännande från den person som begär pengar med en annan kanal förutom e-post. För större banköverföringar, gör det obligatoriskt att få muntlig bekräftelse.
  5. Flagga e-postmeddelanden med liknande tillägg
    FBI rekommenderar att din organisation skapar systemregler som automatiskt flaggar e-postmeddelanden som använder tillägg som är för lika dina egna. Om ditt företag till exempel använder "123-business.com" kan systemet upptäcka och flagga e-postmeddelanden med tillägg som "123_business.com".
  6. Köpa liknande domännamn
    Angripare använder ofta liknande domännamn för att skicka phishing-e-postmeddelanden. Om din organisation till exempel har ett gemener "i" i sitt namn kan de använda versaler "I" eller ersätta bokstaven "E" med siffran "3". Att göra detta hjälper dig att minska dina chanser att någon använder ett extremt liknande domännamn för att skicka dig e-postmeddelanden.