Ceo fraude: esta estafa se te despidan y costar su dinero jefe

El correo electrónico es un vector de ataque común utilizado por los estafadores y delincuentes informáticos. Pero si usted pensaba que sólo se utiliza para propagar malware, phishing y estafas de avance de Nigeria, piensa otra vez. Hay una nueva estafa de correo electrónico impulsado por la cual un atacante pretenderá ser su jefe, y conseguir que le permite transferir miles de dólares de fondos de la compañía en una cuenta bancaria que controlan.Los correos electrónicos hacen estafa nigeriana Ocultar un terrible secreto? [Opinión]Los correos electrónicos hacen estafa nigeriana Ocultar un terrible secreto? [Opinión]Otro día, otro correo basura cae en mi bandeja de entrada, de alguna manera su forma de trabajo alrededor del filtro de correo no deseado de Windows Live que hace un buen trabajo de proteger los ojos de todos los demás no solicitados, tales ...Lee mas

Se llama CEO Fraude, o “Insider Spoofing”.

Entendiendo El Ataque

Así que, ¿cómo funciona el ataque? Bueno, por un atacante para tirar con éxito si fuera poco, lo que necesitan saber mucha información acerca de la compañía que está dirigido.

Mucha de esta información es acerca de la estructura jerárquica de la empresa o institución a la que se orienta. Ellos necesitan saber quien van a estar suplantando. Aunque este tipo de estafa se conoce como “fraude CEO”, en realidad se dirige nadie con un cargo de responsabilidad - cualquiera que sea capaz de iniciar los pagos. Ellos necesitan saber su nombre, y su correo electrónico. También ayudaría a conocer su horario, y cuando estaría viajando, o de vacaciones.

CEO

Por último, lo que necesitan saber quién en la organización es capaz de emitir transferencias de dinero, tales como un contador, o alguien en el empleo del departamento de finanzas.

Mucha de esta información se puede encontrar libremente en los sitios web de la compañía en cuestión. Muchas empresas de tamaño pequeño a mediano y tienen “Sobre Nosotros” páginas, en el que la lista de sus empleados, sus funciones y responsabilidades, y su información de contacto.

Encontrar horarios de alguien puede ser un poco más difícil. La gran mayoría de las personas no dar a conocer su calendario en línea. Sin embargo, muchas personas conocer sus movimientos en las redes sociales, como Twitter, Facebook y Swarm (anteriormente Foursquare). Un atacante sólo tendría que esperar hasta que han dejado la oficina, y que puede atacar.Foursquare retoma la herramienta según lo basado en el descubrimiento de sus gustosFoursquare retoma la herramienta según lo basado en el descubrimiento de sus gustosFoursquare fue pionera en el check-in- una actualización de estado basada en la localización móvil que le dijo al mundo exactamente dónde estaba y por qué - por lo que es el cambio a una herramienta de descubrimiento puro un paso adelante?Lee mas

Una vez que el atacante tiene cada pieza del puzzle que necesita para llevar a cabo el ataque, van a continuación, enviar por correo electrónico el empleado finanzas, que pretende ser el CEO, y solicitando que inician una transferencia de dinero a una cuenta bancaria que controlan.

Para que funcione, el correo electrónico tiene que mirar genuino. Que vamos a usar ya sea una cuenta de correo electrónico que se ve ‘legítimo` o plausibles (Por ejemplo [email protected]), Oa través de ‘spoofing` genuina de correo electrónico del CEO. Este será el lugar donde se envía un correo con encabezados modificados, por lo que el campo “De:” campo contiene correo electrónico genuina del CEO. Algunos atacantes motivados intentarán conseguir el CEO para enviarlas por correo electrónico, por lo que pueden duplicar los estilos y la estética de su correo electrónico.

El atacante esperar que el empleado de finanzas será presionado para iniciar la transferencia sin consultar primero con el ejecutivo de destino. Esta apuesta menudo vale la pena, con algunas empresas que han unwittily pagan cientos de miles de dólares. Una de las empresas en Francia que fue perfilada por la BBC perdió 100.000 euros. Los atacantes trataron de 500.000, pero todos menos uno de los pagos fueron bloqueados por el banco, que sospecha de fraude.

Cómo ingeniería social Ataques Trabajo

amenazas a la seguridad informática tradicionales tienden a ser de naturaleza tecnológica. Como resultado, se puede emplear medidas tecnológicas para derrotar estos ataques. Si usted se infecta con malware, puede instalar un programa anti-virus. Si alguien ha estado tratando de hurgar en tu web servidor, usted puede contratar a alguien para llevar a cabo una prueba de penetración y aconsejarle sobre cómo puede ‘endurecer` la máquina contra otros ataques.

Vídeo: Policía alerta del "fraude del CEO" por el que se suplanta a altos directivos

ataques de ingeniería social - de los cuales el fraude CEO es un ejemplo de - son mucho más difíciles de mitigar en contra, porque no están atacando los sistemas o hardware. Están atacando a la gente. Más que explotar vulnerabilidades en el código, que se aprovechan de la naturaleza humana, y nuestro imperativo biológico instintivo de confiar en otras personas. Una de las explicaciones más interesantes de este ataque se hizo en la conferencia DEFCON en 2013.¿Qué es la Ingeniería Social? [Explica MakeUseOf]¿Qué es la Ingeniería Social? [Explica MakeUseOf]Puede instalar más fuerte y más caro del firewall de la industria. Se puede educar a los empleados acerca de los procedimientos de seguridad básicos y la importancia de elegir contraseñas seguras. Puede incluso bloquear hacia abajo la sala de servidores - pero ¿cómo ...Lee mas

Algunos de los más cortes de droppingly audaz eran un producto de la ingeniería social.

En 2012, el periodista-Mat Honan antigua conexión de cable se encontró bajo el ataque de un grupo determinado de los ciberdelincuentes, que estaban decididos a desmantelar su vida en línea. Mediante el uso de tácticas de ingeniería social, que fueron capaces de convencer a Amazon y Apple para proporcionarles la información que necesitaban para remotamente-limpiarse la MacBook Air y el iPhone, eliminar su cuenta de correo electrónico, y aprovechar su influyente cuenta de Twitter para poder escribir epítetos raciales y homofóbicos . Puede leer el escalofriante relato aquí.

ataques de ingeniería social son apenas una nueva innovación. Los hackers han estado utilizando durante décadas con el fin de obtener acceso a sistemas, edificios e información durante décadas. Uno de los ingenieros sociales más notorios es Kevin Mitnick, quien a mediados de los años 90 pasó años escondiéndose de la policía, después de haber cometido una serie de delitos informáticos. Fue encarcelado durante cinco años, y se ha prohibido el uso de un ordenador hasta el año 2003. A medida que los hackers van, Mitnick fue lo más cerca que podía llegar a tengan la condición de estrella de rock. Cuando finalmente fue permitido el uso de Internet, que fue televisado en Leo Laporte de Los protectores de pantalla.5 de los hackers famosos La mayoría del mundo & Que les pasó a ellos5 de los hackers famosos La mayoría del mundo & Que les pasó a ellosEl termino "pirata informático" originalmente se refería a los codificadores que tenían absolutamente ninguna connotación malévolas. Sólo recientemente el término ha sido utilizado para referirse principalmente a mentes criminales. En este artículo, vamos a hablar específicamente ...Lee mas

Vídeo: Una de cada 100 personas intenta estafar a su compañía de seguros - Equipo de investigación

Con el tiempo fue de fiar. Ahora dirige su propia empresa de consultoría en seguridad informática, y ha escrito una serie de libros sobre ingeniería social y la piratería. Quizás el más bien considerado es “El arte del engaño”. Se trata esencialmente de una antología de cuentos que se centran en cómo la ingeniería social, los ataques se puede sacar, y cómo protegerse contra ellos, y está disponible para su compra en Amazon.

El arte del engaño: Controlar el elemento humano de SeguridadEl arte del engaño: Controlar el elemento humano de SeguridadJohn Wiley Sons Ahora comprar en Amazon $ 8,21

¿Qué puede hacerse acerca de CEO Fraude?

Por lo tanto, vamos a recapitular. Sabemos que el CEO de fraude es horrible. Sabemos que cuesta mucho a las empresas una gran cantidad de dinero. Sabemos que es muy difícil de mitigar, porque es un ataque contra los seres humanos, no en contra de los ordenadores. El último que queda por cubrir es la forma en que lucha contra ella.

Esto es más fácil dicho que hecho. Si usted es un empleado y que ha recibido una solicitud de pago sospechoso de su empleador o jefe, es posible que desee comprobar con ellos (usando un método que no sea el correo electrónico) para ver si era genuina. Podrían ser un poco molesto con usted por molestarlos, pero probablemente serán Más molesto si usted terminó enviando a $ 100,000 de fondos de la empresa a una cuenta bancaria extranjera.

AnonDollar

Hay soluciones tecnológicas que se pueden utilizar, también. próxima actualización de Microsoft Office 365 contendrá algún tipo de protección contra este tipo de ataque, marcando la fuente de cada correo electrónico para ver si procedía de un contacto confiable. Microsoft reconoce que han logrado una mejora del 500% en la forma Oficina 365 identifica falsificados o correos electrónicos falsificados.

No ser picado

La forma más confiable para proteger contra estos ataques es ser escéptico. Siempre que reciba un correo electrónico que le pide hacer una gran transferencia de dinero, llamar a su jefe para ver si es de fiar. Si usted tiene alguna influencia con el departamento de TI, considere pedirles que mover a Office 365, que está a la cabeza cuando se trata de la lucha contra el fraude CEO.Una introducción a la Oficina 365 - Debe usted comprar en el negocio del nuevo modelo de oficina?Una introducción a la Oficina 365 - Debe usted comprar en el negocio del nuevo modelo de oficina?Office 365 es un paquete basado en suscripción que ofrece acceso a la última suite de oficina de escritorio, oficina en línea, almacenamiento en la nube, y las aplicaciones móviles de primera calidad. Cuesta Office 365 proporciona suficiente valor para que sea vale la pena el dinero?Lee mas

Ciertamente espero que no, pero que nunca han sido víctimas de una estafa de correo electrónico de dinero motivado? Si es así, quiero oír hablar de eso. Gota sea un comentario más abajo, y dime lo que pasó.

Créditos de las fotografías: AnonDollar (Su Anon), CEO Miguel El entretenimiento (Jorge)

Artículos Relacionados