CEO詐欺:この詐欺はあなたを解雇し、上司のお金を犠牲にします
電子メールは、詐欺師やコンピューター犯罪者が使用する一般的な攻撃ベクトルです。しかし、マルウェア、フィッシング、ナイジェリアの前払い金詐欺を広めるためだけに使用されたと思ったら、もう一度考えてみてください。攻撃者があなたの上司になりすまして、何千ドルもの会社の資金を彼らが管理する銀行口座に送金させる、新しい電子メール主導の詐欺があります。
これは、CEO Fraud、または「InsiderSpoofing」と呼ばれます。
では、攻撃はどのように機能しますか?さて、攻撃者がそれをうまくやってのけるためには、彼らは彼らが狙っている会社について多くの情報を知る必要があります。
この情報の多くは、対象となる企業または機関の階層構造に関するものです。彼らは誰を知る必要があります 彼らはなりすまします。このタイプの詐欺は「CEO詐欺」として知られていますが、実際には誰でも標的にしています。 上級職–支払いを開始できる人なら誰でも。彼らは彼らの名前と彼らの電子メールアドレスを知る必要があるでしょう。また、彼らのスケジュールや、旅行中や休暇中の時期を知ることも役立ちます。
最後に、会計士や財務部門の従業員など、組織内の誰が送金を発行できるかを知る必要があります。
この情報の多くは、問題の会社のWebサイトで自由に見つけることができます。多くの中小企業には「会社概要」ページがあり、従業員、役割と責任、連絡先情報が一覧表示されています。
誰かのスケジュールを見つけるのは少し難しいかもしれません。大多数の人々は自分のカレンダーをオンラインで公表していません。ただし、多くの人は、Twitter、Facebook、Swarm(以前のFoursquare)などのソーシャルメディアサイトで自分の動きを公表しています。攻撃者はオフィスを離れるまで待つだけで、攻撃することができます。
攻撃者は、攻撃を実行するために必要なパズルのすべてのピースを手に入れたら、CEOを装って財務担当者に電子メールを送信し、自分が管理する銀行口座への送金を開始するように要求します。
それが機能するためには、電子メールが本物に見える必要があります。 「正当な」またはもっともらしいと思われるメールアカウントを使用します(例: [email protected] )、または「なりすまし」でCEOの本物の電子メールを送信します。これは、変更されたヘッダーを含む電子メールが送信される場所であるため、「From:」フィールドにはCEOの本物の電子メールが含まれます。やる気のある攻撃者の中には、CEOにメールを送信させようとする人もいるため、メールのスタイルや美しさを複製することができます。
攻撃者は、最初に対象の幹部に確認せずに、財務担当者が異動を開始するように圧力をかけられることを期待します。この賭けはしばしば報われ、一部の企業は無意識のうちに数十万ドルを支払いました。 BBCによってプロファイリングされたフランスのある会社は100,000ユーロを失いました。攻撃者は500,000を取得しようとしましたが、1つを除くすべての支払いが、詐欺の疑いのある銀行によってブロックされました。
従来のコンピュータセキュリティの脅威は、本質的に技術的なものになる傾向があります。その結果、これらの攻撃を打ち負かすための技術的手段を採用することができます。マルウェアに感染した場合は、ウイルス対策プログラムをインストールできます。誰かがWebサーバーをハッキングしようとしている場合は、誰かを雇って侵入テストを実行し、他の攻撃に対してマシンを「強化」する方法についてアドバイスすることができます。
ソーシャルエンジニアリング攻撃(CEOの詐欺がその一例です)は、システムやハードウェアを攻撃していないため、軽減するのがはるかに困難です。彼らは人々を攻撃しています。コードの脆弱性を悪用するのではなく、人間の本性と、他の人を信頼するという本能的な生物学的命令を利用します。この攻撃の最も興味深い説明の1つは、2013年のDEFCON会議で行われました。
最も驚異的な大胆なハッキングのいくつかは、ソーシャルエンジニアリングの産物でした。
2012年、元有線ジャーナリストのMat Honanは、オンライン生活を解体することを決意したサイバー犯罪者の決意のある幹部から攻撃を受けていることに気づきました。ソーシャルエンジニアリングの戦術を使用することで、AmazonとAppleに、MacBook AirとiPhoneをリモートでワイプし、メールアカウントを削除し、影響力のあるTwitterアカウントを取得して、人種的で同性愛嫌悪の感情を表現するために必要な情報を提供するよう説得することができました。 。ここで身も凍るような話を読むことができます。
ソーシャルエンジニアリング攻撃は、ほとんど新しいイノベーションではありません。ハッカーは、システム、建物、および情報に何十年もアクセスするために、それらを何十年も使用してきました。最も悪名高いソーシャルエンジニアの1人はKevinMitnickです。彼は、一連のコンピューター犯罪を犯した後、90年代半ばに警察から身を隠して何年も過ごしました。彼は5年間投獄され、2003年までコンピューターの使用が禁止されていました。ハッカーが行くにつれて、ミトニックはロックスターの地位を得ることができる限り近くにいました。彼がついにインターネットの使用を許可されたとき、それはレオラポルテのスクリーンセーバーで放映されました。 。
彼は最終的に合法的になりました。彼は現在、彼自身のコンピュータセキュリティコンサルタント会社を経営しており、ソーシャルエンジニアリングとハッキングに関する本を数多く執筆しています。おそらく最も評判の良いのは「欺瞞の芸術」です。これは本質的に、ソーシャルエンジニアリング攻撃を阻止する方法と、攻撃から身を守る方法を考察する短編小説のアンソロジーであり、Amazonで購入できます。
欺瞞の芸術:セキュリティの人間的要素の制御今すぐAmazonで購入CEOの不正について何ができるか?
それでは、要約しましょう。 CEOの詐欺はひどいことを私たちは知っています。多くの企業に多額の費用がかかることを私たちは知っています。これはコンピューターに対する攻撃ではなく、人間に対する攻撃であるため、軽減するのが非常に難しいことを私たちは知っています。最後に取り上げるのは、それとどのように戦うかです。
これは、口で言うほど簡単ではありません。あなたが従業員であり、雇用主または上司から不審な支払い要求を受け取った場合は、それが本物であるかどうかを確認するために(電子メール以外の方法を使用して)彼らにチェックインすることをお勧めします。彼らはあなたに迷惑をかけて少しイライラするかもしれませんが、おそらくもっと 10万ドルの会社の資金を外国の銀行口座に送金することになった場合はイライラします。
使用できる技術的解決策もあります。 MicrosoftのOffice365の今後の更新には、各電子メールの送信元をチェックして信頼できる連絡先からのものかどうかを確認することにより、このタイプの攻撃に対する保護が含まれる予定です。 Microsoftは、Office 365が偽造またはなりすましの電子メールを識別する方法を500%改善したと考えています。
これらの攻撃から保護するための最も信頼できる方法は、懐疑的であることです。大規模な送金を求めるメールを受け取ったら、上司に電話して合法かどうかを確認してください。 IT部門に影響がある場合は、CEOの詐欺との戦いで群を抜いているOffice365に移行するように依頼することを検討してください。
私は確かにそうしないことを望んでいますが、金銭を目的とした電子メール詐欺の被害に遭ったことはありますか?もしそうなら、私はそれについて聞きたいです。下にコメントを記入して、何が落ちたのか教えてください。
写真提供者:AnonDollar(Your Anon)、Miguel The Entertainment CEO(Jorge)
-
デスクトップにこの PC アイコンを表示する方法
PC の [この PC] アイコンを使用してファイルにアクセスします。アクセスを容易にするために、多くのユーザーはデスクトップにショートカット アイコンとして配置します。それで、この点に関していくつか質問があります。デスクトップにこの PC アイコンを表示する方法Windows 10 でこの PC をデスクトップに追加する方法This PC が以前は My Computer と呼ばれていたことがわかっている場合は、別の質問があるかもしれません。 Windows 10 のデスクトップにマイ コンピューター (この PC) アイコンを追加する方法この記事では、デスクトップにこの PC アイコンを表
-
スマートフォンが命を落とす前に安全を確保
世界人口が70億に達した 10 月 31 日st 、2011 年、国連によると。 2016 年 9 月現在、世界の現在の人口は 75 億 と推定されています .現在、約 46 億人の携帯電話ユーザーがいます。これは、2017 年までの予測です。 、 47.7 億の携帯電話ユーザー (総人口の約 63%)。 2019 までにという予測もあります。 この数は50億を超えるでしょう マーク。これらのモバイル ユーザーのうち、スマートフォン ユーザーの数は 20.8 億 に達すると推定されています ことし。スマートフォンの普及率が高まるにつれて、この数は 25 億 に達すると予測されて