Hva er CEO Fraud?

Lær om CEO Fraud

Så hva er CEO Fraud egentlig?

CEO-svindel er en sofistikert e-postsvindel som nettkriminelle bruker for å lure ansatte til å overføre penger til dem eller gi dem konfidensiell bedriftsinformasjon.

Nettkriminelle sender kunnskapsrike e-poster som etterligner selskapets administrerende direktør eller andre bedriftsledere og ber ansatte, vanligvis innen HR eller regnskap, om å hjelpe dem ved å sende en bankoverføring. Ofte referert til som Business Email Compromise (BEC), denne cyberkriminaliteten bruker falske eller kompromitterte e-postkontoer for å lure e-postmottakere til å handle.

CEO-fraud er en sosial ingeniørteknikk som er avhengig av å vinne tilliten til e-postmottakeren. Nettkriminelle bak CEO-svindel vet at folk flest ikke ser så nøye på e-postadresser eller legger merke til mindre staveforskjeller.

Disse e-postene bruker kjente, men samtidig presserende språk og gjør det klart at mottakeren gjør avsenderen en stor tjeneste ved å hjelpe dem. Nettkriminelle jakter på det menneskelige instinktet til å stole på hverandre og på ønsket om å ville hjelpe andre.

Angrep på CEO-svindel starter med phishing, spear phishing, BEC og hvalfangst for å etterligne selskapets ledere.

Er CEO Fraud noe den gjennomsnittlige bedriften trenger å bekymre seg for?

CEO-svindel blir en stadig mer vanlig type nettkriminalitet. Nettkriminelle vet at alle har en full innboks, noe som gjør det enkelt å fange folk på vakt og overbevise dem om å svare.

Det er avgjørende at ansatte forstår viktigheten av å lese e-poster nøye og bekrefte e-postavsenderens adresse og navn. Opplæring og kontinuerlig opplæring i cybersikkerhetsbevissthet er medvirkende til å minne folk om viktigheten av å være cyberbevisste når det kommer til e-poster og innboksen.

Hva er årsakene til CEO Fraud?

Nettkriminelle er avhengige av fire viktige taktikker for å begå CEO-svindel:

Sosialteknikk

Sosial ingeniørkunst er avhengig av det menneskelige tillitsinstinktet for å lure folk til å gi opp konfidensiell informasjon. Ved å bruke nøye skrevne e-poster, tekstmeldinger eller telefonsamtaler vinner den nettkriminelle offerets tillit og overbeviser dem om å oppgi den forespurte informasjonen eller for eksempel å sende dem en bankoverføring. For å lykkes trenger sosial ingeniørkunst bare én ting: offerets tillit. Alle disse andre teknikkene faller inn under kategorien sosial ingeniørkunst.

Phishing

Phishing er en nettkriminalitet som bruker taktikk inkludert villedende e-poster, nettsteder og tekstmeldinger for å stjele penger, skatteinformasjon og annen konfidensiell informasjon. Nettkriminelle sender et stort antall e-poster til forskjellige bedriftsansatte, i håp om å lure en eller flere mottakere til å svare. Avhengig av phishing-teknikken kan den kriminelle bruke skadevare med et nedlastbart e-postvedlegg eller sette opp en landingsside for å stjele brukerlegitimasjon. En av metodene brukes for å få tilgang til administrerende direktørs e-postkonto, kontaktliste eller konfidensiell informasjon som deretter kan brukes til å sende målrettede e-poster med CEO-svindel til intetanende mottakere.

Spyd phishing

Spear phishing-angrep bruker svært målrettede e-poster mot enkeltpersoner og bedrifter. Før de sender en spear phishing-e-post, bruker nettkriminelle internett til å samle inn personlige data om målene deres som deretter brukes i spear-phishing-e-posten. Mottakere stoler på e-postavsenderen og forespørsler fordi den kommer fra et selskap de gjør forretninger med eller refererer til en begivenhet de deltok på. Mottakeren blir deretter lurt til å gi den forespurte informasjonen, som deretter brukes til å begå ytterligere cyberkriminalitet, inkludert CEO-svindel.

Utøvende hvalfangst

Utøvende hvalfangst er en sofistikert nettkriminalitet der kriminelle utgir seg for å utgi seg for selskapets administrerende direktører, finansdirektører og andre ledere, i håp om å lure ofrene til å handle. Målet er å bruke lederens autoritet eller status for å overbevise mottakeren om å svare raskt uten å bekrefte forespørselen med en annen kollega. Ofre føler at de gjør noe bra ved å hjelpe administrerende direktør og selskapet ved for eksempel å betale et tredjepartsselskap eller laste opp skattedokumenter til en privat server.

Disse teknikkene for CEO-svindel er alle avhengige av ett nøkkelelement – ​​at folk er opptatt og ikke tar full oppmerksomhet til e-poster, webadresser, tekstmeldinger eller talepostdetaljer. Alt som trengs er å savne en stavefeil eller en litt annen e-postadresse, og nettkriminelle vinner.

Det er viktig å gi bedriftens ansatte opplæring og kunnskap om sikkerhetsbevissthet som forsterker viktigheten av å ta hensyn til e-postadresser, firmanavn og forespørsler som til og med har et snev av mistanke.

Hvordan forhindre CEO-svindel

  1. Lær de ansatte om vanlige taktikker for CEO-svindel. Dra nytte av gratis phishing-simuleringsverktøy for å utdanne og identifisere phishing-, sosial ingeniør- og CEO-svindelrisiko.

  2. Bruk bevist sikkerhetsopplæring og plattformer for phishing-simulering for å holde risikoen for svindelangrep fra administrerende direktør øverst i tankene for ansatte. Lag interne cybersikkerhetshelter som er forpliktet til å holde organisasjonen cybersikker.

  3. Minn dine sikkerhetsledere og cybersikkerhetshelter om å regelmessig overvåke ansattes cybersikkerhet og bevissthet om svindel med phishing-simuleringsverktøy. Dra nytte av CEO-svindel mikrolæringsmoduler for å utdanne, trene og endre atferd.

  4. Gi løpende kommunikasjon og kampanjer om cybersikkerhet, CEO-svindel og sosial ingeniørkunst. Dette inkluderer å etablere sterke passordpolicyer og å minne ansatte om risikoen som kan komme i formatet av e-poster, URL-er og vedlegg.

  5. Etabler nettverkstilgangsregler som begrenser bruken av personlige enheter og deling av informasjon utenfor bedriftens nettverk.

  6. Sørg for at alle applikasjoner, operativsystemer, nettverksverktøy og intern programvare er oppdatert og sikker. Installer beskyttelse mot skadelig programvare og anti-spam programvare.

  7. Inkorporer bevissthetskampanjer for cybersikkerhet, opplæring, støtte, utdanning og prosjektledelse i bedriftskulturen din.

Hvordan kan en phishing-simulering bidra til å forhindre CEO-svindel?

Phishing-simuleringer er en tilgjengelig og informativ måte å vise ansatte hvor lett det er å bli offer for CEO-svindel. Ved å bruke eksempler fra den virkelige verden og simulerte phishing-angrep innser ansatte hvorfor det er viktig å bekrefte e-postadresser og bekrefte forespørsler om midler eller skatteinformasjon før de svarer. Phishing-simuleringer gir organisasjonen din 10 primære fordeler mot CEO-svindel og andre cybersikkerhetstrusler:
  1. Mål graden av bedriftens og ansattes sårbarhet

  2. Reduser risikonivået for cybertrussel

  3. Øk brukernes våkenhet overfor CEO-svindel, phishing, spyd-phishing, sosial ingeniørkunst og hvalfangstrisiko

  4. Innpode en cybersikkerhetskultur og skap cybersikkerhetshelter

  5. Endre atferd for å eliminere den automatiske tillitsresponsen

  6. Implementer målrettede anti-phishing-løsninger

  7. Beskytt verdifulle bedrifts- og personopplysninger

  8. Oppfyll bransjens overholdelsesforpliktelser

  9. Vurder virkningene av opplæring i bevissthet om cybersikkerhet

  10. Reduser den vanligste formen for angrep som forårsaker datainnbrudd

Lær mer om CEO Fraud

For å lære mer om CEO-svindel og de beste måtene å holde organisasjonen sikkerhetsbevisst på, kontakt oss Hvis du har noen spørsmål.