Har du for nylig modtaget en e-mail fra din ‘CEO’, der bad om at overføre penge til en ‘leverandør’? Gør det ikke! Det er en CEO-svindel, jeg vil forklare i detaljer.
Lad os starte med en lille baggrundshistorie.
CEO-svindel skete for mig næsten to måneder efter, at jeg kom til toadmin.dk som fuldtidsskribent.
Det var ikke tydeligt med det samme, da svindleren brugte et velrenommeret domænenavn Virgin Media ([email protected]), og jeg troede, at min administrerende direktør på en eller anden måde var forbundet med dette teleselskab, da begge er placeret i Det Forenede Kongerige.
Så jeg svarede på initialen ‘Jeg vil gerne tildele dig en opgave, har du fri?’ positivt. Dernæst beskrev afsenderen en opgave omfattende INR 24.610 (~$300) overførsel til en leverandør, hvis detaljer ville være blevet delt, hvis jeg havde accepteret det.
Men dette gjorde mig lidt mistænksom, og jeg bad afsenderen om at bevise sin identitet, før jeg kunne overføre noget. Et par e-mails senere ringede svindleren op, og jeg sendte samtalen til min egentlige administrerende direktør og Virgin Media IT-celle.
Selvom jeg ikke havde nogen forudgående uddannelse til at håndtere denne form for svindel, var jeg heldig ikke at falde i denne fælde.
Men vi bør ikke stole på rent held; i stedet skal du vide dette på forhånd og uddanne andre.
CEO Fraud, alias Executive Phishing
Dette kommer under spear phishing, et angreb rettet mod en bestemt organisation eller nogle af dens ansatte. Det vil være kendt som et hvalfangst-phishing-angreb, hvis målet er en højprofileret medarbejder (som en c-suite) på en institution.
Federal Bureau of Investigation, USA, mærker disse svindelnumre under Business Email Compromise (BEC) eller Email Account Compromise (EAC), som tegnede sig for næsten $2,4 milliarder i tab i 2021, ifølge denne internetkriminalitetsrapport.
Geografisk er Nigeria det nummer et land, der er vært for 46 % af CEO-svindelerne, efterfulgt af USA (27 %) og Storbritannien (15 %).
Hvordan virker det?
Navnlig behøver CEO-svindel ikke nogen tekniske færdigheder eller kriminel knowhow. Alt du får er en tilfældig e-mail og social engineering for at narre dig til at sende penge eller afsløre følsomme detaljer for yderligere ulovlig handling.
Lad os se et par måder, hvorpå dårlige skuespillere gør dette ‘i øjeblikket’.
Type 1
En tilfældig e-mailadresse, der pålægger den administrerende direktør at bede om nogle penge, er den enkleste form for sådanne tricks. Og denne er nem at få øje på. Det eneste du skal kigge efter er e-mailadressen (og ikke navnet).
Generelt er domænenavnet ([email protected]) giver bort svindel. Dog kan e-mailadressen angive en anerkendt organisation (som det var i mit tilfælde).
Disse belønninger tilføjede legitimitet til fidusen, som kan gøre en uinformeret professionel ofre. Derudover kan e-mailadressen se ægte ud, men med små umærkelige ændringer, f.eks. @gmial.com i stedet for @gmail.com.
Endelig kan det være fra en legitim, men kompromitteret e-mailadresse, hvilket gør det ekstremt svært at opdage fidusen.
Type 2
En anden mere sofistikeret teknik bruger videoopkald. Dette inkluderer en ‘administreret’ e-mail-adresse på en toprangeret embedsmand, der sender ‘hastende’ onlinemødeanmodninger til sine medarbejdere, for det meste i økonomiafdelingen.
Derefter ser deltagerne et billede uden lyd (eller med en deepfake lyd) med en påstand om, at forbindelsen ikke fungerer som forventet.
Efterfølgende beder ‘erhvervsdirektøren’ om at iværksætte en bankoverførsel til ukendte bankkonti, hvorfra pengene bliver suget af via andre kanaler (læs kryptovalutaer) efter et vellykket bedrageri.
Type 3
Denne er en variant af Type 1, men er rettet mod forretningspartnere og ikke medarbejdere, og får et navn – fakturasvindel – mere egnet til dens modus operandi.
I dette tilfælde modtager en organisations klient en e-mail for hurtigst muligt at betale en faktura til bestemte bankkonti.
Kilde: CBC News
Denne har den højeste succesrate, da den normalt opnås ved hjælp af en hacket virksomheds-e-mailadresse. Og da e-mail er måden, nogle gange udelukkende, fagfolk kommunikerer på, resulterer det i enorme økonomiske tab og tab af omdømme for målorganisationen.
Hvordan kontrollerer man CEO-svindel?
Som medarbejder er det svært at afvise en anmodning fra din egen administrerende direktør. Denne psyke er den primære årsag til, at gerningsmænd nemt får succes med blot en tilfældig e-mail.
Ud over at stille spørgsmålstegn ved økonomiske anmodninger, er det bedst at bede om et videomøde, før du ‘samarbejder’.
Desuden skal du i de fleste tilfælde blot tjekke e-mailadressen nøje. Dette tilhører muligvis ikke din organisation eller kan have fejlstavede versioner af firmanavnet.
Desuden kan en institution ikke registrere alle domæneudvidelser. Så du skal passe på med at få en e-mail fra [email protected] hvornår den officielle adresse skal være [email protected]
Endelig modtager du muligvis e-mails fra en virksomhedsadresse, der drives udefra, eller et useriøst internt medlem. Nøglen til en sådan situation er verbal bekræftelse eller at holde flere ledere i løkken, før de foretager nogen betalinger.
Og den mest effektive måde at beskytte din organisation på, hvis du leder en, er at inkorporere phishing-simulering i rutinemæssig medarbejdertræning. Fordi disse svindlere konstant udvikler sig. Så det hjælper ikke dine medarbejdere meget at give en enkelt engangsadvarsel.
Afslutter!
Desværre er vi stærkt afhængige af forretningsmails, hvilket efterlader store smuthuller, som kriminelle ofte udnytter.
Selvom der ikke er en erstatning for denne form for kommunikation endnu, kan vi tilføje forretningspartnere til applikationer som Slack eller endda WhatsApp. Dette vil hjælpe med hurtigt at bekræfte, hvis noget virker mistænkeligt, og undgå sådanne tilbageslag.
PS: Hvis jeg var dig, ville jeg ikke gå glip af denne artikel, der dækker typer af cyberkriminalitet for øget internetkendskab.
