Compromis de e-mail pentru companii - organizația dvs. este pregătită să o facă?
Arata nevinovat. Ele arătau ca e-mailurile provenite de la un executiv la un CEO sau de la un CEO la un finantator. Pe scurt, e-mailurile sunt mai degrabă de natură comercială. În cazul în care CEO-ul dvs. vă trimite un e-mail care solicită detalii despre impozitele dvs., cât de probabil sunteți să îi furnizați toate detaliile? Vă gândiți de ce ar fi interesat CEO-ul pentru detaliile dvs. fiscale? Să vedem cum Compromis de e-mail pentru companii se întâmplă, modul în care oamenii sunt luați pentru o plimbare și câteva puncte mai târziu cum să facă față amenințării.
Compromis de e-mail pentru companii
E-mail de afaceri Abuzurile de compromis exploatează de obicei vulnerabilitățile în diferiți clienți de e-mail și fac un e-mail ca și cum ar fi de la un expeditor de încredere de la organizația sau asociatul dvs. de afaceri.
Estimarea pierderii în ultimii trei ani datorită Compromisului de e-mail pentru companii
Între 2013 și 2015, întreprinderile din 79 de țări au fost înșelătoare - SUA, Canada și Australia fiind pe primul loc. Datele din 2015 până în 2016 nu sunt încă în vigoare, dar ar putea să fi crescut, în opinia mea - deoarece criminalii cibernetici sunt mai activi decât oricând. Cu lucruri cum ar fi spoofing-ul prin e-mail și ransomware-ul IoT, aceștia pot face cât mai mulți bani pe cât vor. Nu voi acoperi răscumpărarea în acest articol; va rămâne doar la BEC (Compromis de afaceri prin e-mail).
În cazul în care doriți să știți cât de mulți bani au fost învinuiți din cele 79 de țări în perioada 2013-2015, cifra este ...
$ 3,08,62,50,090
... de la 22 de mii de case de afaceri din cele 79 de țări! Cele mai multe dintre aceste țări aparțin lumii dezvoltate.
Cum functioneazã?
Am vorbit mai devreme despre spoofing-ul prin e-mail. Este metoda de manipulare a adresei expeditorului. Folosind vulnerabilități în diferiți clienți de e-mail, criminaliștii cibernetici o vor face să pară că e-mailul este de la un expeditor de încredere - cineva din biroul dvs. sau cineva de la clienții dvs..
În afară de utilizarea spoofing-ului prin e-mail, infractorii cibernetici compromite, uneori, codurile de e-mail ale altor persoane din biroul dvs. și le folosesc pentru a vă trimite poștă care ar arăta că provine de la o autoritate și că are nevoie de o atenție prioritară.
Și ingineria socială vă ajută să obțineți codurile de e-mail și apoi detaliile de afaceri și banii de afaceri. De exemplu, dacă sunteți un casier, puteți primi un e-mail de la furnizor sau un apel prin care vă cereți să schimbați metoda de plată și să creditați sumele viitoare într-un cont bancar nou (care aparține infractorilor cibernetici). Deoarece e-mailul pare că provine de la furnizor, îl veți crede în loc de verificare încrucișată. Asemenea acte sunt numite facturarea facturilor sau false escrocherii pe factură.
De asemenea, puteți primi un e-mail de la șeful dvs. care vă solicită să îi trimiteți detaliile bancare sau informațiile despre card. Criminalii pot cita orice motiv ca vor depune niște bani în contul sau cardul tău. Deoarece e-mailul vine de la sau pare să vină de la seful dvs., nu vă veți da prea multă gândire și vă răspundeți cât mai curând posibil.Au fost detectate alte cazuri în care un CEO al unei companii vă trimite un e-mail care vă întreabă detaliile colegilor. Ideea este să folosiți autoritatea altora pentru a vă înșelă pe dvs. și pe afacerea dvs. Ce veți face dacă primiți un e-mail de la CEO-ul dvs. care spune că are nevoie de fonduri transferate către un anumit cont? Nu ați fi urmat protocoalele aferente? Atunci de ce CEO-ul le-a ocolit? După cum am spus mai devreme, infractorii cibernetici folosesc autoritatea cuiva din afacerea dvs. pentru a vă constrânge să renunțați la informații și bani cruciali.
Compromis de e-mail pentru companii: cum să preveniți?
Ar trebui să existe un sistem care să poată căuta anumite cuvinte sau expresii și pe baza rezultatelor, să poată clasifica și elimina e-mailurile false. Există câteva sisteme care utilizează metoda pentru a distrage spam-ul și junk-ul.
În cazul înșelătoriilor de afaceri de tip compromis sau a fraudelor CEO-ului, devine dificil să scanați și să identificați e-mailurile false deoarece:
- Ele sunt personalizate și arata originale
- Ele provin de la un ID de e-mail de încredere
Cea mai bună metodă de a împiedica compromisul prin e-mail pentru companii este de a educa angajații și de a le solicita să se asigure că protocoalele conexe sunt înaintate. Dacă un casier vede un e-mail de la șeful său cerându-i să transfere niște fonduri într-un anumit cont, casierul trebuie să-l cheme pe seful să vadă dacă vrea cu adevărat fonduri transferate în contul bancar aparent străin. Efectuarea unui apel de confirmare sau scrierea unui e-mail suplimentar îi ajută pe angajați să știe dacă anumite lucruri trebuie făcute sau dacă e vorba de un e-mail fals.
Deoarece fiecare afacere are un set propriu de reguli, persoanele interesate trebuie să verifice dacă se respectă protocolul relevant. De exemplu, ar putea fi necesar ca CEO-ul să trimită un e-mail atât departamentului financiar, cât și casierului dacă are nevoie de bani. Dacă observați că CEO-ul a contactat direct casierul și nu a trimis niciun voucher sau scrisoare către departamentul contabil, există șanse mari ca acesta să fie un e-mail fals. Sau dacă nu există nicio declarație privind motivul pentru care CEO-ul transferă bani în cont, există ceva în neregulă. O declarație ajută departamentul contabil să echilibreze cărțile. Fără această declarație, ei nu pot crea o intrare corectă în registrul de birou.
Alte lucruri pe care le puteți face sunt: - Evitați conturile gratuite de e-mail bazate pe web și fiți atenți la ceea ce este postat pe site-urile sociale și pe site-urile companiei. Creați reguli de detectare a intruziunilor care semnalizează e-mailuri cu extensii similare cu cele ale companiei de e-mail.
Astfel, metoda de bază și cea mai eficientă pentru a împiedica compromisul prin e-mail pentru companii este să rămână în alertă. Acest lucru se traduce în educarea personalului cu privire la posibilele probleme și modul de verificare etc. Este de asemenea o bună practică de a nu discuta detaliile afacerii cu străinii care nu au nimic de-a face cu afacerea.
Dacă sunteți o victimă a acestui tip de om înșelătorie e-mail, poate doriți să depuneți o plângere la IC3.gov.