Fraude du PDG: cette arnaque vous fera virer et coûtera de l'argent à votre patron

Publicité

Le courrier électronique est un vecteur d'attaque commun utilisé par les fraudeurs et les criminels informatiques. Mais si vous pensiez qu'il n'était utilisé que pour propager des logiciels malveillants, du phishing et Arnaques nigérianes sur les frais d'avance Les courriels frauduleux nigérians cachent-ils un terrible secret? [Opinion]Un autre jour, un autre e-mail de spam tombe dans ma boîte de réception, se frayant un chemin autour du filtre anti-spam de Windows Live qui protège si bien mes yeux de tous les autres non sollicités ... Lire la suite , détrompez-vous. Il y a une nouvelle arnaque par e-mail où un attaquant se fera passer pour votre patron et vous obligera à transférer des milliers de dollars de fonds de l'entreprise dans un compte bancaire qu'il contrôle.

C'est ce qu'on appelle le PDG Fraude, ou «Insider Spoofing».

Comprendre l'attaque

Alors, comment fonctionne l'attaque? Eh bien, pour qu'un attaquant réussisse, il doit connaître beaucoup d'informations sur l'entreprise qu'il vise.

La plupart de ces informations concernent la structure hiérarchique de l'entreprise ou de l'institution ciblée. Ils auront besoin de savoir qui ils usurperont l'identité. Bien que ce type d’escroquerie soit connu sous le nom de «fraude du PDG», il cible en réalité n'importe qui avec un rôle supérieur - toute personne qui pourrait initier des paiements. Ils devront connaître leur nom et leur adresse e-mail. Il serait également utile de connaître leur emploi du temps et quand ils voyageraient ou en vacances.

Enfin, ils doivent savoir qui dans l'organisation est en mesure d'émettre des transferts d'argent, comme un comptable ou une personne à l'emploi du service financier.

Une grande partie de ces informations peuvent être consultées librement sur les sites Web de la société en question. De nombreuses moyennes et petites entreprises ont des pages «À propos de nous», où elles répertorient leurs employés, leurs rôles et responsabilités, ainsi que leurs coordonnées.

Trouver les horaires de quelqu'un peut être un peu plus difficile. La grande majorité des gens ne publient pas leur calendrier en ligne. Cependant, de nombreuses personnes publient leurs mouvements sur les sites de médias sociaux, comme Twitter, Facebook et Swarm (anciennement Foursquare) Foursquare relance en tant qu'outil de découverte en fonction de vos goûtsFoursquare a été le pionnier de l'enregistrement mobile; une mise à jour de l'état basée sur l'emplacement qui a dit au monde exactement où vous étiez et pourquoi - le passage à un outil de découverte pure est-il donc un pas en avant? Lire la suite . Un attaquant n'aurait qu'à attendre jusqu'à ce qu'il ait quitté le bureau et il peut frapper.

Je suis au marché de St George - @ stgeorgesbt1 à Belfast, Co. Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17 janvier 2016

Une fois que l'attaquant a chaque pièce du puzzle dont il a besoin pour mener l'attaque, il enverra ensuite un e-mail aux finances. employé, prétendant être le PDG, et leur demandant d’effectuer un virement sur un compte bancaire qu’ils contrôle.

Pour que cela fonctionne, l'e-mail doit être authentique. Ils utiliseront soit un compte de messagerie qui semble «légitime» ou plausible (par exemple pré[email protected]), ou en usurpant le véritable e-mail du PDG. Ce sera l'endroit où un e-mail est envoyé avec des en-têtes modifiés, de sorte que le champ "De:" contient le véritable e-mail du PDG. Certains attaquants motivés tenteront de demander au PDG de leur envoyer un e-mail, afin qu'ils puissent reproduire le style et l'esthétique de leur e-mail.

L'attaquant espère que l'employé des finances subira des pressions pour initier le transfert sans vérifier d'abord avec l'exécutif ciblé. Ce pari est souvent payant, certaines entreprises ayant versé involontairement des centaines de milliers de dollars. Une entreprise en France qui était profilé par la BBC perdu 100 000 euros. Les assaillants ont tenté d'en obtenir 500 000, mais tous les paiements sauf un ont été bloqués par la banque, qui soupçonnait une fraude.

Fonctionnement des attaques d'ingénierie sociale

Les menaces de sécurité informatique traditionnelles ont tendance à être de nature technologique. En conséquence, vous pouvez utiliser des mesures technologiques pour vaincre ces attaques. Si vous êtes infecté par un logiciel malveillant, vous pouvez installer un programme antivirus. Si quelqu'un essaie de pirater votre serveur Web, vous pouvez engager quelqu'un pour effectuer un test de pénétration et vous conseiller sur la façon de «durcir» la machine contre d'autres attaques.

Attaques d'ingénierie sociale Qu'est-ce que l'ingénierie sociale? [MakeUseOf explique]Vous pouvez installer le pare-feu le plus solide et le plus cher du secteur. Vous pouvez informer les employés des procédures de sécurité de base et de l'importance de choisir des mots de passe forts. Vous pouvez même verrouiller la salle des serveurs - mais comment ... Lire la suite - dont la fraude des PDG est un exemple - sont beaucoup plus difficiles à atténuer, car ils n'attaquent pas les systèmes ou le matériel. Ils attaquent les gens. Plutôt que d'exploiter les vulnérabilités du code, ils profitent de la nature humaine et de notre impératif biologique instinctif de faire confiance aux autres. L'une des explications les plus intéressantes de cette attaque a été faite lors de la conférence DEFCON en 2013.

Certains des hacks les plus audacieux à couper le souffle étaient un produit de l'ingénierie sociale.

En 2012, l'ancien journaliste de Wired, Mat Honan, s'est retrouvé attaqué par un groupe déterminé de cybercriminels, déterminés à démanteler sa vie en ligne. En utilisant des tactiques d'ingénierie sociale, ils ont pu convaincre Amazon et Apple de leur fournir les informations dont ils avaient besoin pour effacer à distance son MacBook Air et iPhone, supprimez son compte de messagerie et saisissez son compte Twitter influent afin de publier des messages raciaux et homophobes épithètes. Tu peut lire le conte effrayant ici.

Les attaques d'ingénierie sociale ne sont guère une nouvelle innovation. Les pirates les utilisent depuis des décennies afin d'accéder aux systèmes, aux bâtiments et aux informations depuis des décennies. L'un des ingénieurs sociaux les plus notoires est Kevin Mitnick, qui au milieu des années 90 a passé des années à se cacher de la police, après avoir commis une série de délits informatiques. Il a été emprisonné pendant cinq ans et interdit d'utiliser un ordinateur jusqu'en 2003. Comme les pirates vont, Mitnick était aussi proche que possible ayant le statut de rockstar 10 des hackers les plus célèbres et les meilleurs au monde (et leurs histoires fascinantes)Les pirates à chapeau blanc contre les pirates à chapeau noir. Voici les meilleurs et les plus célèbres hackers de l'histoire et ce qu'ils font aujourd'hui. Lire la suite . Quand il a finalement été autorisé à utiliser Internet, il a été télévisé sur le site de Leo Laporte. Les économiseurs d'écran.

Il est finalement devenu légitime. Il dirige maintenant sa propre société de conseil en sécurité informatique et a écrit un certain nombre de livres sur l'ingénierie sociale et le piratage. Le plus apprécié est peut-être «The Art of Deception». Il s'agit essentiellement d'une anthologie de nouvelles qui examinent comment les attaques d'ingénierie sociale peuvent être supprimées et comment protégez-vous contre eux Comment vous protéger contre les attaques d'ingénierie socialeLa semaine dernière, nous avons examiné certaines des principales menaces d'ingénierie sociale que vous, votre entreprise ou vos employés devriez rechercher. En un mot, l'ingénierie sociale est similaire à un ... Lire la suite et est disponible à l'achat sur Amazon.

Que peut-on faire à propos de la fraude des PDG?

Alors, récapitulons. Nous savons que la fraude du PDG est horrible. Nous savons que cela coûte cher à beaucoup d’entreprises. Nous savons que c'est incroyablement difficile à atténuer, car c'est une attaque contre les humains, pas contre les ordinateurs. La dernière chose qui reste à couvrir est de savoir comment nous lutter contre elle.

C'est plus facile à dire qu'à faire. Si vous êtes un employé et que vous avez reçu une demande de paiement suspecte de votre employeur ou de votre patron, vous souhaiterez peut-être vous renseigner auprès d'eux (en utilisant une méthode autre que le courrier électronique) pour voir si elle était authentique. Ils pourraient être un peu ennuyés de vous déranger, mais ils seront probablement plus ennuyé si vous finissiez par envoyer 100 000 $ de fonds de l'entreprise sur un compte bancaire étranger.

Il existe également des solutions technologiques. Microsoft's mise à jour à venir pour Office 365 contiendra certaines protections contre ce type d'attaque, en vérifiant la source de chaque e-mail pour voir s'il provient d'un contact de confiance. Microsoft estime avoir amélioré de 500% la façon dont Office 365 identifie les e-mails contrefaits ou usurpés.

Ne te fais pas piquer

Le moyen le plus fiable de se protéger contre ces attaques est d'être sceptique. Chaque fois que vous recevez un e-mail vous demandant d'effectuer un transfert d'argent important, appelez votre patron pour voir s'il est légitime. Si vous avez une quelconque influence sur le service informatique, pensez à leur demander de passer à Office 365 Une introduction à Office 365: devriez-vous acheter le nouveau modèle d'entreprise Office?Office 365 est un package basé sur un abonnement qui donne accès à la dernière suite bureautique de bureau, Office Online, le stockage en nuage et les applications mobiles premium. Office 365 offre-t-il suffisamment de valeur pour être rentable? Lire la suite , qui est en tête du peloton en matière de lutte contre la fraude des PDG.

J'espère bien que non, mais avez-vous déjà été victime d'une arnaque par e-mail motivée par l'argent? Si oui, je veux en entendre parler. Laissez tomber un commentaire ci-dessous et dites-moi ce qui s'est passé.

Crédits photo: AnonDollar (Votre Anon), Miguel The Entertainment PDG (Jorge)