Tag Archive for: phishing scam

Det e-postmeddelandet var inte från din chef: 6 sätt att stoppa VD-bedrägeri

Den värsta sortens phishing-bedrägerier är de som du inte kan ignorera: som CEO Fraud. E-postmeddelanden som påstås komma från regeringen och som uppmanar dig att göra den där väntade skattebetalningen eller riskera rättsliga åtgärder. E-postmeddelanden som ser ut som om din skola eller ditt universitet har skickat dem, där du uppmanas att betala den där avgiften som du har missat. Eller till och med ett meddelande från din chef eller vd där du uppmanas att överföra pengar till dem "som en tjänst".

Vad är CEO-bedrägeri?

CEO-attacken är en phishing-attack där bedragare utger sig för att vara ett företags VD i ett försök att övertyga anställda att skicka pengar till dem. E-postmeddelandena innehåller vanligtvis företagets VD:s riktiga namn och titel.

Problemet med e-postmeddelanden som detta är att de utger sig för att vara en myndighetsfigur, oavsett om det är regeringen, din universitetsstyrelse eller din chef på jobbet. Det är viktiga människor, och att ignorera deras budskap kommer med största sannolikhet att få allvarliga konsekvenser. Så du är tvungen att titta på dem, och om det verkar övertygande nog, kan du faktiskt falla för det.

Du är inte immun mot VD-bedrägeri

En bedrägeri på 2,3 miljarder dollar varje år är vad den är. Du kanske undrar, "Vad kan få företag att förlora så mycket pengar till en enkel e-postbedrägeri?" Men du skulle bli förvånad över hur övertygande VD-bedrägerimeddelanden kan vara.

År 2016 förlorade Mattel nästan 3 miljoner dollar till en phishing-attack när en finanschef fick ett e-postmeddelande från VD och instruerade henne att skicka en betalning till en av deras leverantörer i Kina. Men det var först efter att ha kollat senare med VD som hon insåg att han aldrig hade skickat e-postmeddelandet alls. Tack och lov arbetade företaget med brottsbekämpning i Kina och USA för att få tillbaka sina pengar några dagar senare, men det händer nästan aldrig med dessa attacker.

Folk tenderar att tro att dessa bedrägerier inte kommer att hända dem ... tills det händer dem. Och det är deras största misstag: att inte förbereda sig för VD-bedrägeri.

Phishing-bedrägerier kan inte bara kosta din organisation miljontals dollar, de kan ha en varaktig inverkan på ditt varumärkes rykte och trovärdighet. Du riskerar att ses som det företag som förlorade pengar till en e-postbedrägeri och förlora förtroendet för dina kunder vars känsliga personliga information du lagrar.

Istället för att skynda sig att göra skadekontroll i efterhand är det mycket mer meningsfullt att säkra dina e-postkanaler mot spear phishing-bedrägerier som den här. Här är några av de bästa sätten du kan se till att din organisation inte blir en statistik i FBI: s rapport om BEC.

Hur man förhindrar VD-bedrägeri: 6 enkla steg

  1. Utbilda din personal i säkerhet
    Den här är helt avgörande. Dina medarbetare - och särskilt de som arbetar med ekonomi - måste förstå hur Business Email Compromise fungerar. Och vi menar inte bara en tråkig tvåtimmarspresentation om att inte skriva ner lösenordet på en post-it-lapp. Du måste utbilda dem i hur de ska se upp för misstänkta tecken på att ett e-postmeddelande är falskt, se upp för falska e-postadresser och onormala förfrågningar som andra anställda verkar göra via e-post.
  2. Se upp för telltale tecken på förfalskning
    E-postbedragare använder alla typer av taktiker för att få dig att följa deras förfrågningar. Dessa kan sträcka sig från brådskande förfrågningar / instruktioner för att överföra pengar som ett sätt att få dig att agera snabbt och utan att tänka, eller ens be om tillgång till konfidentiell information för ett "hemligt projekt" som de högre upp inte är redo att dela med dig ännu. Det här är allvarliga röda flaggor, och du måste dubbel- och trippelkolla innan du vidtar några åtgärder alls.
  3. Bli skyddad med DMARC
    Det enklaste sättet att förhindra nätfiske är att inte ens ta emot e-postmeddelandet från början. DMARC är ett protokoll för autentisering av e-post som verifierar e-postmeddelanden som kommer från din domän innan de levereras. När du tillämpar DMARC på din domän kommer en angripare som utger sig för att vara en person från din egen organisation att upptäckas som en obehörig avsändare, och deras e-postmeddelanden kommer att blockeras från din inkorg. Du behöver inte alls ta hand om falska e-postmeddelanden.

Lär dig mer om vad DMARC är.

  1. Få uttryckligt godkännande för banköverföringar
    Detta är ett av de enklaste och enklaste sätten att förhindra pengaöverföringar till fel personer. Innan du förbinder dig till någon transaktion, gör det obligatoriskt att söka uttryckligt godkännande från den person som begär pengar med en annan kanal förutom e-post. För större banköverföringar, gör det obligatoriskt att få muntlig bekräftelse.
  2. Flagga e-postmeddelanden med liknande tillägg
    FBI rekommenderar att din organisation skapar systemregler som automatiskt flaggar e-postmeddelanden som använder tillägg som är för lika dina egna. Om ditt företag till exempel använder "123-business.com" kan systemet upptäcka och flagga e-postmeddelanden med tillägg som "123_business.com".
  3. Köpa liknande domännamn
    Angripare använder ofta liknande domännamn för att skicka phishing-e-postmeddelanden. Om din organisation till exempel har ett gemener "i" i sitt namn kan de använda versaler "I" eller ersätta bokstaven "E" med siffran "3". Att göra detta hjälper dig att minska dina chanser att någon använder ett extremt liknande domännamn för att skicka dig e-postmeddelanden.

VD-bedrägeri

/av