Електронна пошта від вашого генерального директора?: пояснення шахрайства з фішингом Whaling

Чи отримували ви нещодавно електронний лист від свого «генерального директора» з проханням переказати гроші «постачальнику»? Не роби цього! Це шахрайство генерального директора, я поясню докладно.

Давайте почнемо це з невеликої передісторії.

Шахрайство генерального директора сталося зі мною майже через два місяці після того, як я приєднався до techukraine.net як штатний письменник.

Це було очевидно не відразу, оскільки шахрай використовував відоме доменне ім’я Virgin Media ([email protected]), і я думав, що мій генеральний директор якимось чином пов’язаний із цією телекомунікаційною компанією, оскільки обидві знаходяться у Сполученому Королівстві.

Отже, я відповів на початкове запитання: «Я хотів би призначити вам завдання, ви вільні?» позитивно. Потім відправник детально описав завдання, яке передбачає переказ 24 610 індійських рупій (~300 доларів США) постачальнику, деталі якого були б надані, якби я погодився.

Але це викликало у мене трохи підозри, і я попросив відправника підтвердити свою особу, перш ніж я зможу щось передати. Через кілька електронних листів шахрай подзвонив, і я надіслав розмову своєму справжньому генеральному директору та відділу інформаційних технологій Virgin Media.

Хоча я не мав попередньої підготовки щодо такого роду шахрайства, мені пощастило не потрапити в цю пастку.

Але ми не повинні покладатися на чисту удачу; натомість знайте це заздалегідь і навчайте інших.

Шахрайство генерального директора, або фішинг керівника

Це відноситься до фішингу, атаки, націленої на певну організацію або деяких її співробітників. Це буде відомо як китова фішингова атака, якщо метою є високопоставлений співробітник (наприклад, керівник) будь-якої установи.

Згідно з цим Звітом про злочини в Інтернеті, Федеральне бюро розслідувань США позначає ці шахрайства як компрометацію ділової електронної пошти (BEC) або компрометацію облікового запису електронної пошти (EAC), які спричинили майже 2,4 мільярда доларів США збитків у 2021 році.

Географічно Нігерія є країною номер один, де розміщено 46% випадків шахрайства з керівниками компаній, за нею йдуть США (27%) і Великобританія (15%).

Як це працює?

Примітно, що для шахрайства генерального директора не потрібні жодні технічні навички чи кримінальні ноу-хау. Все, що ви отримаєте, — це випадковий електронний лист і соціальна інженерія, щоб обманом змусити вас надіслати кошти або розкрити конфіденційну інформацію для подальших незаконних дій.

Давайте перевіримо кілька способів, як погані актори роблять це «зараз».

Тип 1

Випадкова адреса електронної пошти, що нав’язується генеральному директору, який просить трохи грошей, є найпростішою формою таких трюків. І цей легко помітити. Все, що вам потрібно шукати, це адреса електронної пошти (а не ім’я).

Як правило, доменне ім’я ([email protected]) видає шахрайство. Однак адреса електронної пошти може вказувати на відому організацію (як це було в моєму випадку).

Ці нагороди додали законності шахрайству, жертвою якого може стати необізнаний фахівець. Крім того, адреса електронної пошти може виглядати справжньою, але з незначними непомітними змінами, наприклад @gmial.com замість @gmail.com.

Нарешті, це може бути з законної, але скомпрометованої адреси електронної пошти, що ускладнює виявлення шахрайства.

Тип 2

Інша більш складна техніка використовує відеодзвінки. Це включає «керовану» електронну адресу високопоставленого чиновника, який надсилає «термінові» запити на онлайн-зустріч своїм співробітникам, переважно у фінансовому відділі.

Далі учасники бачать зображення без аудіо (або зі звуком deepfake) із заявою про те, що з’єднання не працює належним чином.

Згодом «керівник бізнесу» просить ініціювати банківський переказ на невідомі банківські рахунки, звідки гроші виводяться через інші канали (читай, криптовалюти) після успішного шахрайства.

Тип 3

Цей варіант є різновидом типу 1, але націлений на ділових партнерів, а не на співробітників, отримавши шахрайство з іменами та рахунками-фактурами, що більше підходить до його способу дії.

У цьому випадку клієнт організації отримує електронний лист для термінової оплати рахунку на певні банківські рахунки.

Джерело: CBC News

Цей має найвищий відсоток успішності, оскільки зазвичай його встановлюють за допомогою зламаної електронної адреси компанії. А оскільки електронна пошта – це спосіб, іноді виключно, спілкування професіоналів, це призводить до величезних фінансових і репутаційних втрат для цільової організації.

Як перевірити шахрайство генерального директора?

Як працівнику, важко відхилити запит від власного генерального директора. Ця психіка є основною причиною того, що зловмисники легко досягають успіху лише випадковим електронним листом.

Окрім запитань про фінансові запити, найкраще попросити про відеозустріч перед «співпрацею».

Крім того, в більшості випадків потрібно просто уважно перевірити електронну адресу. Це може не належати вашій організації або містити неправильні версії назви компанії.

Крім того, установа не може зареєструвати всі доменні розширення. Отже, вам потрібно остерігатися отримання електронного листа від [email protected] коли має бути офіційна адреса [email protected]

Нарешті, ви можете отримувати електронні листи з адреси компанії, яка керується «зовні», або від шахрайського внутрішнього члена. Ключем до такої ситуації є усне підтвердження або утримання кількох керівників у курсі перед здійсненням будь-яких платежів.

І найефективніший спосіб захистити свою організацію, якщо ви її очолюєте, — це включити симуляцію фішингу в планове навчання співробітників. Тому що ці шахраї постійно розвиваються. Отже, одноразове попередження не дуже допоможе вашим працівникам.

Підведенню!

На жаль, ми значною мірою залежимо від корпоративної електронної пошти, що залишає великі лазівки, якими часто користуються злочинці.

Хоча поки що немає заміни цій формі спілкування, ми можемо додавати ділових партнерів у такі програми, як Slack або навіть WhatsApp. Це допоможе швидко підтвердити, якщо щось здається підозрілим, і уникнути подібних невдач.

PS: на вашому місці я б не пропустив цю статтю про типи кіберзлочинів для додаткової інтернет-грамотності.