你知道什么是最糟糕的网络钓鱼骗局吗?就是那种你不能简单地忽视的:如CEO欺诈。据称是来自政府的电子邮件,告诉你要支付那笔与税收有关的款项,否则将面临法律诉讼。看起来像你的学校或大学发出的电子邮件,要求你支付你错过的那笔学费。甚至是来自你的老板或CEO的信息,告诉你给他们转一些钱,"作为一个忙"。
像这样的电子邮件的问题是,他们在冒充权威人士,无论是政府、你的大学董事会,还是你工作中的老板。这些都是重要人物,忽视他们的信息几乎肯定会产生严重后果。所以你不得不看他们,如果它看起来足够有说服力,你可能真的会上当。
但是,让我们来看看CEO欺诈。它到底是什么?它能发生在你身上吗?如果会,你应该怎么做来阻止它?
你对CEO的欺诈行为没有免疫力
每年23亿美元的骗局就是这样的。你可能会想,"什么东西能让公司因一个简单的电子邮件骗局而损失那么多钱?"但你会惊讶于CEO欺诈邮件的说服力。
2016年,美泰公司在一次网络钓鱼攻击中几乎损失了300万美元,当时一位财务主管收到了一封来自首席执行官的电子邮件,指示她向他们在中国的一个供应商发送一笔款项。但在后来与首席执行官核实后,她才意识到他根本就没有发送过这封邮件。值得庆幸的是,该公司与中国和美国的执法部门合作,在几天后拿回了他们的钱,但这种攻击几乎从未发生。
人们往往相信这些骗局不会发生在他们身上......直到它发生在他们身上。而这是他们最大的错误:没有为CEO的欺诈行为做好准备。
网络钓鱼诈骗不仅会使你的组织损失数百万美元,而且会对你的品牌的声誉和信誉产生持久的影响。你有可能被视为因电子邮件诈骗而损失金钱的公司,并失去你的客户的信任,因为你储存了敏感的个人信息。
与其事后慌忙进行损害控制,不如保护你的电子邮件渠道,防止像这样的鱼叉式网络钓鱼诈骗,这样做更有意义。这里有一些你可以确保你的组织不会成为FBI关于BEC的报告中的一个统计数字的最好方法。
如何防止CEO欺诈。6个简单的步骤
- 对你的员工进行安全教育
这一点绝对关键。你的员工--尤其是那些财务人员--需要了解商业电子邮件入侵是如何运作的。我们并不只是指一个无聊的2小时的演讲,关于不要在便条上写下你的密码。你需要对他们进行培训,让他们知道如何注意可疑的迹象,即电子邮件是假的,注意欺骗性的电子邮件地址,以及其他工作人员似乎通过电子邮件提出的异常要求。 - 留意欺骗的蛛丝马迹
电子邮件诈骗者使用各种策略来让你满足他们的要求。这些手段包括紧急要求/指示转账,以此让你不假思索地迅速行动,甚至要求你获取 "秘密项目 "的机密信息,而上级领导还没有准备好与你分享。这些都是严重的危险信号,在采取任何行动之前,你需要反复检查。 - 通过DMARC获得保护
防止网络诈骗的最简单方法是,首先不要收到电子邮件。DMARC是一个电子邮件认证协议,它可以在发送电子邮件之前对来自你的域名的电子邮件进行验证。当你在你的域名上执行DMARC时,任何冒充你自己组织的人的攻击者都会被检测为未经授权的发件人,他们的电子邮件将被阻止在你的收件箱中。你根本不需要处理欺骗性的电子邮件。 - 获得电汇的明确批准
这是最简单和最直接的方法之一,以防止向错误的人转移资金。在承诺进行任何交易之前,强制要求使用电子邮件以外的其他渠道向要求汇款的人寻求明确批准。对于大额电汇,强制要求收到口头确认。 - 标记具有类似扩展名的电子邮件
联邦调查局建议你的组织建立系统规则,自动标记那些使用与你的扩展名过于相似的电子邮件。例如,如果你的公司使用 "123-business.com",系统可以检测并标记使用 "123_business.com "等扩展名的电子邮件。 - 购买类似的域名
攻击者经常使用外观相似的域名来发送网络钓鱼邮件。例如,如果你的组织名称中有小写的 "i",他们可能会使用大写的 "I",或者用数字 "3 "代替字母 "E"。这样做将帮助你降低有人使用极其相似的域名向你发送电子邮件的几率。
