Fraude de PDG Cette arnaque vous fera virer et coûtera votre argent à votre patron
Le courrier électronique est un vecteur d’attaque courant utilisé par les fraudeurs et les cybercriminels. Mais si vous pensiez que cela n’était utilisé que pour propager des programmes malveillants, du phishing et des escroqueries payées à l’avance par le Nigéria, les courriels frauduleux nigérians cachent-ils un terrible secret? [Opinion] Les courriels frauduleux nigérians cachent-ils un terrible secret? [Opinion] Un autre jour, un autre courrier indésirable arrive dans ma boîte de réception, contournant ainsi le filtre antispam de Windows Live qui protège si bien mes yeux de tous les autres messages non sollicités. Il existe une nouvelle arnaque par courrier électronique dans laquelle un attaquant se fait passer pour votre patron et vous oblige à transférer des milliers de dollars des fonds de la société sur un compte bancaire qu'ils contrôlent..
Ça s'appelle Fraude du PDG, ou “Usurpation d'initié”.
Comprendre l'attaque
Alors, comment fonctionne l'attaque? Eh bien, pour qu'un attaquant réussisse, il doit connaître beaucoup d'informations sur la société qu'il cible..
Une grande partie de ces informations concerne la structure hiérarchique de l'entreprise ou de l'institution ciblée. Ils auront besoin de savoir qui ils vont se faire passer pour. Bien que ce type d’arnaque soit connu sous le nom de “Fraude de chef de la direction”, en réalité, il vise n'importe qui avec un rôle principal - toute personne qui serait en mesure d'initier des paiements. Ils devront connaître leur nom et leur adresse électronique. Il serait également utile de connaître leur emploi du temps, et quand ils voyageront ou en vacances.
Enfin, ils ont besoin de savoir qui dans l'organisation est capable d'émettre des virements, comme un comptable ou un employé du service financier..
Une grande partie de cette information peut être trouvée librement sur les sites Web de la société en question. De nombreuses petites et moyennes entreprises ont “À propos de nous” pages, où ils énumèrent leurs employés, leurs rôles et responsabilités, et leurs informations de contact.
Trouver les horaires de quelqu'un peut être un peu plus difficile. La grande majorité des gens ne publient pas leur calendrier en ligne. Cependant, de nombreuses personnes publient leurs mouvements sur des sites de médias sociaux, tels que Twitter, Facebook et Swarm (anciennement Foursquare). une mise à jour de statut basée sur la localisation indiquant exactement où vous vous trouviez et pourquoi - le passage à un pur outil de découverte est-il un pas en avant? Lire la suite . Un attaquant n’aurait qu’à attendre jusqu’à ce qu’il quitte le bureau pour pouvoir frapper.
Je suis au marché St George - @ stgeorgesbt1 à Belfast, comté d'Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17 janvier 2016
Une fois que l’attaquant dispose de toutes les pièces du puzzle dont il a besoin pour mener l’attaque, il envoie ensuite un courrier électronique à l’employé des finances, prétendant être le PDG, pour lui demander d’initier un transfert d’argent sur un compte bancaire qu’il contrôle.
Pour que cela fonctionne, le courrier électronique doit avoir l’air authentique. Ils utiliseront soit un compte de messagerie qui a l’air "légitime" ou plausible (par exemple pré[email protected]), ou bien en "usurpant" le véritable email du PDG. Ce sera là où un email est envoyé avec des en-têtes modifiés, de sorte que le “De:” Ce champ contient le courrier électronique authentique du PDG. Certains attaquants motivés tenteront d’envoyer un e-mail au chef de la direction afin de leur permettre de reproduire le style et l’esthétique de leur courrier électronique..
L’attaquant espère que l’employé des finances subira des pressions pour qu’il initie le transfert sans consulter au préalable le responsable ciblé. Ce pari est souvent payant, certaines sociétés ayant indûment versé des centaines de milliers de dollars. Une entreprise française décrite par la BBC a perdu 100 000 euros. Les assaillants ont tenté d'obtenir 500 000 euros, mais tous les paiements sauf un ont été bloqués par la banque, qui soupçonnait une fraude..
Comment fonctionnent les attaques d'ingénierie sociale
Les menaces traditionnelles à la sécurité informatique ont tendance à être de nature technologique. En conséquence, vous pouvez utiliser des mesures techniques pour contrer ces attaques. Si vous êtes infecté par un logiciel malveillant, vous pouvez installer un programme anti-virus. Si quelqu'un tente de pirater votre serveur Web, vous pouvez en embaucher un pour effectuer un test d'intrusion et vous conseiller sur la façon de «renforcer» la machine contre les autres attaques..
Attaques d'ingénierie sociale Qu'est-ce que l'ingénierie sociale? [MakeUseOf explique] Qu'est-ce que l'ingénierie sociale? [MakeUseOf explique] Vous pouvez installer le pare-feu le plus puissant et le plus coûteux de l'industrie. Vous pouvez renseigner les employés sur les procédures de sécurité de base et sur l’importance de choisir des mots de passe forts. Vous pouvez même verrouiller la salle des serveurs - mais en quoi… Lire la suite - dont la fraude de PDG est un exemple - est beaucoup plus difficile à atténuer, car ils ne s'attaquent pas aux systèmes ni au matériel. Ils attaquent les gens. Plutôt que d'exploiter les vulnérabilités du code, ils exploitent la nature humaine et notre impératif biologique instinctif de faire confiance aux autres. Une des explications les plus intéressantes de cette attaque a été faite à la conférence DEFCON en 2013.
Certains des hacks les plus audacieux et audacieux sont le produit de l'ingénierie sociale.
En 2012, Mat Honan, ancien journaliste de Wired, s'est retrouvé attaqué par un groupe déterminé de cyber-criminels déterminés à démanteler sa vie en ligne. En utilisant des tactiques d'ingénierie sociale, ils ont réussi à convaincre Amazon et Apple de leur fournir les informations nécessaires pour effacer à distance son MacBook Air et son iPhone, supprimer son compte de messagerie et saisir son compte Twitter influent afin de publier des épithètes racistes et homophobes. . Vous pouvez lire le récit glaçant ici.
Les attaques d'ingénierie sociale ne sont pas une nouvelle innovation. Les pirates les utilisent depuis des décennies pour accéder aux systèmes, aux bâtiments et aux informations depuis des décennies. Kevin Mitnick est l’un des ingénieurs sociaux les plus notoires. Au milieu des années 90, il a passé des années à se cacher de la police après avoir commis une série de crimes informatiques. Il a été emprisonné pendant cinq ans et interdit d'utiliser un ordinateur jusqu'en 2003. Au fur et à mesure que les pirates informatiques s'en vont, Mitnick était aussi proche que possible du statut de rockstar 10 des plus célèbres pirates du monde (et ce qui leur est arrivé) 10 Les hackers les plus célèbres au monde (et ce qui leur est arrivé) Les hackers au chapeau blanc contre les hackers au chapeau noir. Voici les pirates les plus célèbres de l'histoire et ce qu'ils font aujourd'hui. Lire la suite . Quand il a finalement été autorisé à utiliser Internet, il a été télévisé sur Leo Laporte Les économiseurs d'écran.
Il est finalement allé légitime. Il dirige maintenant son propre cabinet de conseil en sécurité informatique et a écrit plusieurs ouvrages sur l'ingénierie sociale et le piratage. Peut-être que le plus apprécié est “L'art de la déception”. Ceci est essentiellement une anthologie de nouvelles qui montrent comment on peut se protéger des attaques d'ingénierie sociale et comment se protéger. Comment se protéger contre les attaques d'ingénierie sociale Comment se protéger contre les attaques d'ingénierie sociale La semaine dernière, nous avons examiné certaines des principales menaces d'ingénierie sociale que vous, votre entreprise ou vos employés devriez rechercher. En un mot, l'ingénierie sociale s'apparente à un… Lire la suite, et est disponible à l'achat sur Amazon.
L'art de la duperie: contrôler l'élément humain de la sécurité L'art de la duperie: contrôler l'élément humain de la sécurité Acheter maintenant chez Amazon $ 5.58
Que peut-on faire contre la fraude du PDG??
Alors récapitulons. Nous savons que la fraude du PDG est affreuse. Nous savons que cela coûte beaucoup d'argent à beaucoup d'entreprises. Nous savons qu’il est extrêmement difficile de s’attaquer à ce problème, car c’est une attaque contre les humains, pas contre les ordinateurs. La dernière chose à couvrir est de savoir comment nous nous battons contre cela.
C'est plus facile à dire qu'à faire. Si vous êtes un employé et que vous avez reçu une demande de paiement douteuse de votre employeur ou de votre patron, vous pouvez vérifier avec eux (en utilisant une méthode autre que l'adresse électronique) pour vérifier si le paiement est authentique. Ils pourraient être un peu agacés par vous pour les déranger, mais ils seront probablement plus ennuyé si vous finissiez par envoyer 100 000 USD de fonds de la société sur un compte bancaire étranger.
Il existe également des solutions technologiques pouvant être utilisées. La prochaine mise à jour de Microsoft pour Office 365 contiendra des protections contre ce type d'attaque, en vérifiant la source de chaque email pour voir s'il provient d'un contact de confiance. Microsoft estime avoir amélioré de 500% la façon dont Office 365 identifie les e-mails contrefaits ou falsifiés..
Ne soyez pas piqué
Le moyen le plus fiable de se protéger contre ces attaques est d’être sceptique. Chaque fois que vous recevez un e-mail vous invitant à effectuer un important transfert d'argent, appelez votre patron pour savoir s'il est légitime. Si vous avez quelque influence que ce soit sur le service informatique, envisagez de lui demander de passer à Office 365 Introduction à Office 365: Devriez-vous opter pour le nouveau modèle commercial Office? Introduction à Office 365: Si vous achetez dans le nouveau modèle d'entreprise Office? Office 365 est un package basé sur un abonnement qui offre un accès à la dernière suite bureautique de bureau, Office Online, au stockage en nuage et aux applications mobiles premium. Office 365 fournit-il suffisamment de valeur pour en avoir pour son argent? Read More, qui est en tête du peloton en matière de lutte contre la fraude des chefs de la direction.
J'espère bien que non, mais avez-vous déjà été victime d'une escroquerie par courrier électronique motivée par l'argent? Si oui, je veux en entendre parler. Laisse un commentaire ci-dessous, et dis-moi ce qui s'est passé.
Crédits photos: AnonDollar (Your Anon), Miguel le PDG du divertissement (Jorge)
Explorer plus sur: Fraude en ligne, Sécurité en ligne, Escroqueries.