Электронная почта — распространенный вектор атаки, используемый мошенниками и компьютерными преступниками. Но если вы подумали, что он используется только для распространения вредоносных программ, фишинга и мошенничества с предоплатой в Нигерии
подумай еще раз. Существует новое мошенничество по электронной почте, в котором злоумышленник будет притворяться вашим начальником и заставит вас перевести тысячи долларов средств компании на банковский счет, который они контролируют.
Это называется мошенничеством генерального директора или «спуфинг инсайдеров».
Понимание атаки
Итак, как работает атака? Что ж, чтобы злоумышленник успешно справился с задачей, ему нужно знать много информации о компании, на которую он нацелен.
Большая часть этой информации касается иерархической структуры компании или учреждения, на которое они ориентированы. Им нужно знать, кто будет имитировать себя. Хотя этот вид мошенничества известен как «мошенничество с генеральными директорами», на самом деле он нацелен на любого, кто занимает руководящую должность — на любого, кто сможет инициировать платежи. Им нужно знать их имя и адрес электронной почты. Это также помогло бы узнать их расписание, и когда они будут путешествовать, или в отпуске.
Наконец, им нужно знать, кто в организации может выпустить денежные переводы, например, бухгалтер или кто-то из сотрудников финансового отдела.
Большая часть этой информации может быть свободно найдена на веб-сайтах рассматриваемой компании. Многие компании среднего и малого размера имеют страницы «О нас», где они перечисляют своих сотрудников, их роли и обязанности, а также их контактную информацию.
Найти чье-то расписание может быть немного сложнее. Подавляющее большинство людей не публикует свой календарь в Интернете. Тем не менее, многие люди публикуют свои движения в социальных сетях, таких как Twitter, Facebook и Swarm (ранее Foursquare).
, Злоумышленнику нужно только подождать, пока они покинут офис, и они смогут нанести удар.
Я на рынке Св. Георгия — @ stgeorgesbt1 в Белфасте, Ко. Антрим https://t.co/JehKXuBJsc
— Эндрю Болстер (@Bolster) 17 января 2016 г.
Как только злоумышленник получит все кусочки головоломки, которые ему необходимы для проведения атаки, он отправит электронному сотруднику электронное письмо с заявлением о том, что он является генеральным директором, и попросит его инициировать перевод денег на банковский счет, который он контролирует.
Чтобы это работало, электронная почта должна выглядеть подлинно. Они будут использовать учетную запись электронной почты, которая выглядит «законной» или правдоподобной (например, firstname.lastname.arbitrarynumber@gmail.com) или хотя бы «подделывает» подлинную электронную почту генерального директора. Именно в этом месте электронное письмо отправляется с измененными заголовками, поэтому в поле «От:» содержится подлинный электронный адрес руководителя. Некоторые мотивированные злоумышленники попытаются заставить генерального директора отправить им электронное письмо, чтобы они могли продублировать стили и эстетику своей электронной почты.
Злоумышленник будет надеяться, что на финансового сотрудника будет оказано давление с просьбой инициировать перевод без предварительной проверки с целевым руководителем. Эта ставка часто окупается, так как некоторые компании невольно выплачивают сотни тысяч долларов. Одна компания во Франции, которая была представлена BBC, потеряла 100 000 евро. Злоумышленники пытались получить 500 000, но все платежи, кроме одного, были заблокированы банком, который подозревал мошенничество.
Как работает социальная инженерия
Традиционные угрозы компьютерной безопасности, как правило, носят технологический характер. В результате вы можете использовать технологические меры, чтобы победить эти атаки. Если вы заражены вредоносным ПО, вы можете установить антивирусную программу. Если кто-то пытается взломать ваш веб-сервер, вы можете нанять кого-нибудь для проведения теста на проникновение и посоветовать, как можно «защитить» машину от других атак.
Социальные инженерные атаки
— пример мошенничества со стороны генерального директора — противодействовать гораздо труднее, потому что они не атакуют системы или оборудование. Они нападают на людей. Вместо того чтобы использовать уязвимости в коде, они используют человеческую природу и наш инстинктивный биологический императив доверять другим людям. Одно из самых интересных объяснений этой атаки было сделано на конференции DEFCON в 2013 году.
Некоторые из самых невероятно смелых хаков были продуктом социальной инженерии.
В 2012 году бывший журналист Wired Мэт Хонан оказался под угрозой со стороны решительных кадров киберпреступников, которые были настроены прекратить свою онлайн-жизнь. Используя тактику социальной инженерии, они смогли убедить Amazon и Apple предоставить им информацию, необходимую для удаленной очистки его MacBook Air и iPhone, удаления его учетной записи электронной почты и захвата его влиятельной учетной записи Twitter, чтобы публиковать расовые и гомофобные эпитеты. , Вы можете прочитать леденящую сказку здесь.
Атаки социальной инженерии вряд ли являются новой инновацией. Хакеры используют их на протяжении десятилетий, чтобы получить доступ к системам, зданиям и информации на протяжении десятилетий. Одним из самых известных социальных инженеров является Кевин Митник, который в середине 90-х годов много лет скрывался от полиции, совершив ряд компьютерных преступлений. Он был заключен в тюрьму на пять лет, и до 2003 года ему было запрещено пользоваться компьютером. Как говорят хакеры, Митник был настолько близок, насколько вы могли иметь статус рок-звезды.
, Когда ему наконец разрешили пользоваться Интернетом, об этом говорили по телевидению Лео Лапорт «Хранители экрана».
В конце концов он стал законным. Сейчас он руководит собственной консалтинговой фирмой по компьютерной безопасности и написал несколько книг о социальной инженерии и взломе. Пожалуй, самым уважаемым является «Искусство обмана». По сути, это сборник рассказов, в которых рассказывается о том, как можно проводить атаки социальной инженерии и как защитить себя от них.
и доступен для покупки на Amazon.
, которая является лидером в борьбе с мошенничеством генерального директора.
Я, конечно, надеюсь, что нет, но вы когда-нибудь были жертвой мошенничества по электронной почте? Если так, я хочу услышать об этом. Оставьте комментарий ниже, и скажите мне, что произошло.
Фото Авторы: AnonDollar (Твой Анон), генеральный директор Miguel The Entertainment (Хорхе)
