Obdrželi jste v nedávné době zprávu elektronickou poštou od vašeho „šéfa“, ve které vás žádá o zaslání finančních prostředků „dodavateli“? V žádném případě tak nečiňte! Jedná se o takzvaný CEO fraud, tedy podvod s cílem zneužít autoritu ředitele, který si zde podrobněji rozebereme.
Začněme krátkým úvodním příběhem, který nám celou situaci nastíní.
Sám jsem se stal téměř obětí CEO fraudu zhruba dva měsíce poté, co jsem začal pracovat jako redaktor na plný úvazek pro etechblog.cz.
Podvod nebyl na první pohled zjevný, protože útočník použil e-mailovou adresu s doménou Virgin Media ([email protected]), a já jsem si myslel, že můj generální ředitel má nějaké vazby na tuto telekomunikační společnost, jelikož obě entity sídlí ve Spojeném království.
Na úvodní zprávu s dotazem ‚Mám pro vás jeden úkol, máte volno?‘ jsem odpověděl kladně. Následně odesílatel popsal detailně zadání, které zahrnovalo převod částky 24 610 indických rupií (přibližně 300 USD) prodejci, jehož platební údaje by byly poskytnuty po mém souhlasu.
Toto mi však přišlo lehce podezřelé a požádal jsem odesílatele, aby ověřil svou totožnost před tím, než provedu jakýkoli převod. Po několika dalších e-mailových výměnách mi podvodník zavolal, a já jsem se o celém rozhovoru zmínil svému skutečnému generálnímu řediteli a také IT oddělení společnosti Virgin Media.
Ačkoli jsem neměl žádné speciální školení ohledně toho, jak řešit tento druh podvodu, měl jsem štěstí, že jsem neskočil na lep.
Nicméně, neměli bychom se spoléhat pouze na štěstí. Místo toho je nutné si být tohoto nebezpečí vědom a informovat o něm i ostatní.
CEO Fraud, aneb výkonný phishing
Jedná se o takzvaný spear phishing, neboli cílený útok, který je zaměřen na konkrétní organizaci nebo některé z jejích zaměstnanců. Pokud je cílem vysoce postavený pracovník (například z nejvyššího vedení), pak je tento typ útoku známý jako velrybářský phishing.
Federální úřad pro vyšetřování (FBI) v USA označuje tyto podvody jako Business Email Compromise (BEC) nebo Email Account Compromise (EAC), které podle jejich zprávy o internetové kriminalitě v roce 2021 způsobily ztráty ve výši téměř 2,4 miliardy dolarů.
Z geografického hlediska je Nigérie zemí s největším počtem případů podvodů s generálními řediteli, a to 46 %, následovaná Spojenými státy (27 %) a Velkou Británií (15 %).
Jak to funguje?
CEO fraud nevyžaduje žádné speciální technické znalosti ani kriminální expertízu. Vše, co obdržíte, je náhodná e-mailová zpráva a snaha útočníka o sociální inženýrství, které vás má přimět k odeslání finančních prostředků nebo odhalení citlivých informací pro další nezákonné aktivity.
Podívejme se na několik způsobů, jakým to „aktuálně“ dělají nekalí jedinci.
Typ 1
Nejjednodušší formou těchto podvodů je situace, kdy je zaslána náhodná e-mailová zpráva, ve které vás údajný generální ředitel požádá o převod finančních prostředků. Takový podvod je relativně snadné odhalit. Stačí se zaměřit na e-mailovou adresu (nikoli pouze na jméno).
Název domény (například [email protected]) obecně odhalí, že se jedná o podvod. E-mailová adresa však může na první pohled odkazovat na renomovanou organizaci (jako tomu bylo v mém případě).
Tato zdánlivá legitimita může být důvodem, proč se neinformovaní profesionálové snadno stanou obětí. Navíc e-mailová adresa může vypadat autenticky, ale může obsahovat nepatrné, na první pohled neviditelné změny, například @gmial.com namísto @gmail.com.
V některých případech může jít o legitimní, ale kompromitovanou e-mailovou adresu, což ztěžuje odhalení podvodu.
Typ 2
Další sofistikovanější technika zahrnuje využití videohovorů. V tomto případě útočník získá přístup k e-mailové adrese vysoce postaveného manažera a posílá jeho jménem „naléhavé“ žádosti o online schůzku, zejména zaměstnancům finančního oddělení.
Během videohovoru účastníci vidí obraz bez zvuku (nebo s uměle generovaným hlasem), přičemž se tvrdí, že připojení nefunguje správně.
Následně „manažer“ požaduje zahájení bankovního převodu na neznámé bankovní účty, ze kterých jsou peníze po úspěšném podvodu odkloněny jinými kanály (např. do kryptoměn).
Typ 3
Tento typ je variací prvního typu, ale je zaměřen na obchodní partnery, nikoli na zaměstnance. Podvod je tak spojen s vystavováním falešných faktur.
V tomto scénáři obdrží klient organizace e-mail, který ho urguje k urychlené úhradě faktury na konkrétní bankovní účet.
Zdroj: CBC News
Tento typ podvodu má nejvyšší míru úspěšnosti, protože e-maily bývají zasílány z napadených firemních e-mailových adres. Vzhledem k tomu, že e-mail je v obchodní komunikaci běžný, ba dokonce exkluzivní, má tento podvod za následek obrovské finanční ztráty a poškození reputace cílové organizace.
Jak rozpoznat CEO fraud?
Pro zaměstnance je často obtížné odmítnout žádost svého vlastního generálního ředitele. Tato psychologická bariéra je hlavním důvodem, proč pachatelé snadno uspějí i s náhodným e-mailem.
Kromě toho, že byste měli být obezřetní při jakýchkoli finančních požadavcích, je nejlepší požádat o videokonferenci předtím, než začnete jakkoli „spolupracovat“.
Ve většině případů navíc stačí pečlivě zkontrolovat e-mailovou adresu. Nemusí patřit vaší organizaci nebo může obsahovat chybně napsané části názvu společnosti.
Organizace nemůže registrovat všechny možné doménové koncovky. Proto byste si měli dávat pozor na e-maily z adresy [email protected], pokud má být oficiální adresa [email protected]
Zprávy můžete obdržet i z e-mailové adresy, která je „zvenčí“ podobná té firemní, nebo dokonce od nepoctivého zaměstnance. Klíčem k odhalení takové situace je telefonické ověření a informování více nadřízených před provedením jakékoli platby.
Pokud máte organizaci na starost, nejúčinnějším způsobem ochrany je začlenění simulací phishingu do pravidelného školení zaměstnanců. Podvodníci se neustále vyvíjejí, a proto jednorázové varování pro vaše zaměstnance nemusí stačit.
Závěrem
Bohužel jsme silně závislí na obchodní e-mailové komunikaci, a proto se stává terčem útoků s využitím této slabiny.
Ačkoli v současné době neexistuje adekvátní náhrada za tento způsob komunikace, můžeme přidat firemní partnery do aplikací, jako je Slack nebo WhatsApp. To umožní rychle ověřit podezřelé situace a vyhnout se případným neúspěchům.
PS: Doporučuji vám, abyste si nenechali ujít i tento článek o typech kybernetických útoků, který vám pomůže zlepšit povědomí o digitální bezpečnosti.