Чи доводилося вам нещодавно отримувати електронного листа, нібито від вашого “генерального директора”, з проханням терміново перерахувати кошти певному “постачальнику”? Якщо так, будьте пильні! Це може бути шахрайство, відоме як “афера генерального директора”. Розгляньмо цю схему детальніше.
Для початку, невелика історія.
Мене ледь не ошукали за допомогою цієї схеми приблизно через два місяці після того, як я почав працювати штатним автором у techukraine.net. Шахрайство не одразу впадало в очі, оскільки зловмисник використовував знайому доменну адресу Virgin Media ([email protected]). Я припустив, що мій генеральний директор якось пов’язаний з цією британською телекомунікаційною компанією, адже обидві організації базуються у Великобританії.
Я відповів згодою на перше запитання: “Чи є у вас час, щоб виконати для мене термінове завдання?” Після цього відправник описав суть “завдання”: переказати 24 610 індійських рупій (приблизно 300 доларів США) “постачальнику”. Деталі обіцяли надати, якщо я погоджуся.
Проте щось викликало мою підозру. Я попросив відправника підтвердити його особу, перш ніж робити будь-які перекази. Після кількох обмінів електронними листами шахрай навіть зателефонував мені. Я переслав цю переписку своєму справжньому генеральному директору та в IT-відділ Virgin Media.
Хоча я не мав спеціальної підготовки щодо таких видів шахрайства, мені пощастило не стати жертвою цієї афери. Однак, не варто покладатися лише на удачу. Важливо знати про такі схеми заздалегідь і попереджати інших.
Шахрайство з використанням імені генерального директора, або “фішинг керівника”
Цей тип шахрайства – це різновид фішингу, спрямований на конкретну організацію або окремих її співробітників. Якщо ціллю є високопоставлена особа (наприклад, керівник), то таку атаку називають “китовим фішингом”.
Федеральне бюро розслідувань США (ФБР) називає ці шахрайства “компрометацією ділової електронної пошти” (BEC) або “компрометацією облікового запису електронної пошти” (EAC). За даними їхнього звіту, у 2021 році збитки від таких схем сягнули майже 2,4 мільярда доларів США.
Географічно найбільше таких шахрайств походить з Нігерії (46%), за нею йдуть США (27%) та Великобританія (15%).
Як це працює?
Що цікаво, для шахрайства від імені генерального директора не потрібні якісь особливі технічні навички чи кримінальний досвід. Зловмисники зазвичай використовують звичайні електронні листи та методи соціальної інженерії, щоб змусити вас переказати гроші або розкрити конфіденційну інформацію, яку потім можна використати у злочинних цілях.
Розгляньмо кілька типових способів, як діють зловмисники:
Тип 1
Найпростіший варіант – це коли на електронну пошту надходить лист нібито від генерального директора з проханням переказати певну суму грошей. Цей вид шахрайства найлегше виявити. Потрібно лише звернути увагу на адресу відправника (не на ім’я, яке може бути підробленим).
Як правило, доменне ім’я ([email protected]) одразу ж вказує на шахрайство. Однак, у деяких випадках, адреса електронної пошти може бути схожою на адресу відомої організації (як було у моєму випадку).
Такі адреси можуть виглядати цілком законно, що підвищує довіру до шахраїв, і необізнані фахівці можуть легко стати їхніми жертвами. Також, шахраї можуть використовувати адреси, які дуже схожі на справжні, але мають незначні відмінності (наприклад, @gmial.com замість @gmail.com). Або ж це може бути скомпрометована пошта, що значно ускладнює виявлення підробки.
Тип 2
Більш складний варіант – використання відеодзвінків. Зловмисники надсилають “термінові” запити на онлайн-зустрічі від імені високопоставлених осіб, переважно працівникам фінансового відділу.
Під час відеодзвінка учасники бачать зображення без звуку (або з підробленим голосом), де стверджується, що з’єднання працює некоректно.
Згодом, “керівник” просить ініціювати банківський переказ на невідомі рахунки, звідки кошти виводяться через інші канали, наприклад криптовалюти.
Тип 3
Цей варіант – різновид першого типу, але націлений не на співробітників, а на ділових партнерів. Тут шахраї підробляють імена та рахунки-фактури, щоб їхні дії виглядали більш правдоподібно.
У цьому випадку клієнт компанії отримує електронний лист з вимогою терміново сплатити рахунок на конкретні банківські рахунки.
Джерело: CBC News
Цей вид шахрайства має високий відсоток успіху, оскільки зловмисники зазвичай використовують зламані електронні пошти компаній. Електронна пошта є основним, а іноді й єдиним способом професійного спілкування, тому такі дії призводять до значних фінансових і репутаційних втрат для цільової організації.
Як виявити шахрайство від імені генерального директора?
Для звичайного працівника важко відмовити у проханні власному генеральному директору. Саме цим і користуються зловмисники, досягаючи успіху за допомогою звичайних електронних листів.
Крім того, не варто поспішати виконувати фінансові запити, краще спочатку запропонувати провести відеозустріч.
У більшості випадків, достатньо просто уважно перевірити адресу електронної пошти. Вона може не належати вашій організації або містити неправильну назву компанії.
Крім того, компанія не може зареєструвати усі доменні розширення. Отже, слід бути обережними, коли отримуєте листа з адреси, наприклад, [email protected], коли офіційна адреса [email protected]
Також, ви можете отримувати листи з адреси компанії, якою керують “зовні”, або від шахрая, який є інсайдером. У такому випадку важливо підтвердити запит усно, або попередити кілька керівників, перш ніж здійснювати будь-які платежі.
Найефективнішим способом захисту вашої організації, якщо ви її очолюєте, є проведення симуляцій фішингових атак у рамках регулярного навчання співробітників. Адже шахраї постійно вдосконалюють свої методи. Тому одноразового попередження недостатньо, щоб захистити ваших працівників.
Підсумок
На жаль, ми значною мірою залежимо від корпоративної електронної пошти, що створює великі можливості для зловмисників.
Хоча поки що немає альтернативи цьому засобу зв’язку, ми можемо використовувати додаткові канали, наприклад, Slack або WhatsApp для спілкування з діловими партнерами. Це допоможе швидко підтвердити підозрілі запити та уникнути неприємностей.
PS: рекомендую також ознайомитися зі статтею про інші види кіберзлочинів, щоб підвищити вашу обізнаність в Інтернеті.