Dostali jste v poslední době e-mail od svého „CEO“ s žádostí o převod peněz „dodavateli“? Nedělej to! Je to podvod generálního ředitele, který vysvětlím podrobně.
Začněme malým příběhem na pozadí.
CEO Fraud se mi stal téměř dva měsíce poté, co jsem nastoupil do etechblog.cz jako spisovatel na plný úvazek.
Nebylo to hned zřejmé, protože podvodník používal jméno domény Virgin Media ([email protected]), a myslel jsem si, že můj generální ředitel je nějak propojen s touto telekomunikační společností, protože obě sídlí ve Spojeném království.
Odpověděl jsem tedy na úvodní ‚Chtěl bych vám zadat úkol, máte volno?‘ pozitivně. Dále odesílatel podrobně popsal úkol zahrnující převod 24 610 INR (~ 300 $) prodejci, jehož podrobnosti by byly sdíleny, kdybych souhlasil.
To mi ale přišlo trochu podezřelé a požádal jsem odesílatele, aby prokázal svou totožnost, než budu moci něco převést. O několik e-mailů později podvodník zavolal a já jsem poslal rozhovor svému skutečnému generálnímu řediteli a IT buňce Virgin Media.
I když jsem neměl žádné předchozí školení na zvládnutí tohoto druhu podvodu, měl jsem štěstí, že jsem do této pasti nespadl.
Ale neměli bychom spoléhat na pouhé štěstí; místo toho to uvědomte předem a vzdělávejte ostatní.
Table of Contents
CEO Fraud, neboli výkonný phishing
Jedná se o spear phishing, útok zaměřený na konkrétní organizaci nebo některé z jejích zaměstnanců. Bude to známé jako velrybářský phishingový útok, pokud je cílem vysoce postavený zaměstnanec (jako c-suite) jakékoli instituce.
Federální úřad pro vyšetřování, USA, označuje tyto podvody pod Business Email Compromise (BEC) nebo Email Account Compromise (EAC), které podle této zprávy o internetové kriminalitě v roce 2021 představovaly ztráty ve výši téměř 2,4 miliardy dolarů.
Z geografického hlediska je Nigérie zemí číslo jedna, která hostí 46 % podvodů s generálními řediteli, následuje USA (27 %) a Spojené království (15 %).
Jak to funguje?
Podvody generálních ředitelů zejména nevyžadují žádné technické dovednosti nebo kriminální know-how. Vše, co dostanete, je náhodný e-mail a sociální inženýrství, které vás oklamou, abyste poslali finanční prostředky nebo odhalili citlivé podrobnosti pro další průběh nezákonného jednání.
Pojďme se podívat na několik způsobů, jak to „aktuálně“ dělají špatní herci.
Typ 1
Náhodná e-mailová adresa, kterou generální ředitel požádá o nějaké peníze, je nejjednodušší formou takových triků. A tohle je snadné odhalit. Jediné, co musíte hledat, je e-mailová adresa (nikoli jméno).
Obecně platí, že název domény ([email protected]) prozradí podvod. E-mailová adresa však může označovat renomovanou organizaci (jako tomu bylo v mém případě).
Tato ocenění dodala podvodu legitimitu, která se může stát obětí neinformovaného profesionála. Kromě toho může e-mailová adresa vypadat jako pravá, ale s nepatrnými nepozorovatelnými změnami, například @gmial.com namísto @gmail.com.
Nakonec to může být z legitimní, ale kompromitované e-mailové adresy, takže je velmi obtížné podvod odhalit.
Typ 2
Další sofistikovanější technika využívá videohovory. To zahrnuje „spravovanou“ e-mailovou adresu vysoce postaveného úředníka, který svým zaměstnancům, většinou ve finančním oddělení, zasílá „naléhavé“ žádosti o online schůzku.
Dále účastníci uvidí obraz bez zvuku (nebo s hlubokým falešným zvukem) s tvrzením, že připojení nefunguje podle očekávání.
Následně „obchodník“ požádá o zahájení bankovního převodu na neznámé bankovní účty, odkud jsou peníze po úspěšném podvodu vysávány jinými kanály (čti kryptoměnami).
Typ 3
Toto je variace typu 1, ale zaměřuje se na obchodní partnery a ne na zaměstnance, čímž se podvody se jmény – fakturacemi – více hodí k jeho modu operandi.
V tomto případě klient organizace dostane e-mail, aby urychleně zaplatil fakturu na konkrétní bankovní účty.
Zdroj: CBC News
Tento má nejvyšší míru úspěšnosti, protože je normálně stažen pomocí hacknuté firemní e-mailové adresy. A protože e-mail je způsob, někdy výhradně, profesionálové komunikují, má to za následek obrovské finanční ztráty a ztráty pověsti cílové organizace.
Jak zkontrolovat podvody generálních ředitelů?
Jako zaměstnanec je těžké odmítnout žádost vašeho vlastního generálního ředitele. Tato psychika je hlavní příčinou toho, že pachatelé snadno uspějí jen s náhodným e-mailem.
Kromě zpochybňování finančních požadavků je nejlepší požádat o videokonferenci, než začnete „spolupracovat“.
Navíc ve většině případů stačí pečlivě zkontrolovat e-mailovou adresu. Nemusí patřit vaší organizaci nebo může obsahovat chybně napsané verze názvu společnosti.
Kromě toho instituce nemůže zaregistrovat všechny koncovky domény. Musíte si tedy dát pozor na přijímání e-mailů od [email protected] kdy má být oficiální adresa [email protected]
A konečně, můžete dostávat e-maily z adresy společnosti provozované „zvenčí“ nebo od nepoctivého interního člena. Klíčem k takové situaci je ústní potvrzení nebo udržování více vedoucích pracovníků ve smyčce před provedením jakýchkoli plateb.
A nejúčinnějším způsobem ochrany vaší organizace, pokud ji vedete, je začlenění simulace phishingu do rutinního školení zaměstnanců. Protože tito podvodníci se neustále vyvíjejí. Jednorázové varování tedy vašim zaměstnancům příliš nepomůže.
Zabalit se!
Bohužel jsme silně závislí na obchodních e-mailech, takže zločinci často využívají velké mezery.
I když zatím neexistuje náhrada za tuto formu komunikace, můžeme přidat obchodní partnery na aplikacích, jako je Slack nebo dokonce WhatsApp. To pomůže rychle potvrdit, zda se něco zdá podezřelé, a vyhnout se takovým neúspěchům.
PS: Být vámi, nenechal bych si ujít tento článek o typech kyberzločinů pro zvýšení internetové gramotnosti.