来自您的 CEO 的电子邮件?:捕鲸网络钓鱼欺诈的解释

您最近是否收到过来自您的“CEO”的电子邮件,要求将资金转给“供应商”? 不要这样做! 我将详细解释这是 CEO 欺诈行为。

让我们从一个小背景故事开始。

在我作为全职作家加入techblik.com将近两个月后,CEO Fraud发生在我身上。

这不是很明显,因为诈骗者使用的是知名域名 Virgin Media ([email protected]),我认为我的 CEO 与这家电信公司有某种联系,因为这两家公司都位于英国。

所以,我回应了最初的“我想给你分配一个任务,你有空吗?” 积极地。 接下来,发件人详细说明了一项任务,其中包括向供应商转账 24,610 印度卢比(约合 300 美元),如果我同意,这些细节会被分享。

但这让我有点怀疑,我要求发件人证明其身份,然后才能转账。 几封电子邮件之后,欺诈者退出了,我将对话发送给了我的实际 CEO 和 Virgin Media IT 部门。

虽然我之前没有接受过处理此类欺诈的培训,但我很幸运没有落入这个陷阱。

但我们不应该依赖纯粹的运气; 相反,要提前了解这一点并教育其他人。

CEO 欺诈,又名高管网络钓鱼

这属于鱼叉式网络钓鱼,一种针对特定组织或其部分员工的攻击。 如果目标是任何机构的知名员工(如高级管理人员),这将被称为捕鲸网络钓鱼攻击。

根据这份互联网犯罪报告,美国联邦调查局将这些骗局标记为商业电子邮件妥协 (BEC) 或电子邮件帐户妥协 (EAC),这些骗局在 2021 年造成了近 24 亿美元的损失。

从地理上看,尼日利亚是 46% 的 CEO 欺诈的第一大国家,其次是美国 (27%) 和英国 (15%)。

这是如何运作的?

值得注意的是,CEO 欺诈不需要任何技术技能或犯罪知识。 您将得到的只是一封随机电子邮件和社会工程学,以诱骗您汇款或透露敏感细节,以便采取进一步的非法行动。

让我们看看坏人“目前”做这件事的几种方式。

类型 1

冒充首席执行官要钱的随机电子邮件地址是此类诡计的最简单形式。 而这个很容易被发现。 您只需要查找电子邮件地址(而不是姓名)。

一般来说,域名([email protected]) 放弃欺诈。 但是,电子邮件地址可能表示一个知名组织(就像我的情况一样)。

这些奖励增加了骗局的合法性,这可能会使不知情的专业人士受害。 此外,电子邮件地址可能看起来是真实的,但有细微的不明显变化,例如 @gmial.com 代替了 @gmail.com。

最后,它可能来自合法但已泄露的电子邮件地址,这使得检测诈骗变得极其困难。

类型 2

另一种更复杂的技术使用视频通话。 这包括一位高级官员向其员工(主要是财务部门的员工)发送“紧急”在线会议请求的“托管”电子邮件地址。

接下来,参与者会看到一张没有音频(或带有 deepfake 音频)的图像,并声称连接未按预期工作。

  Quadpay 的 In Progress 是什么意思?

随后,“业务主管”要求向未知银行账户发起电汇,在成功欺诈后,资金会通过其他渠道(读取加密货币)从那里被抽走。

类型 3

这是类型 1 的一种变体,但针对的是业务合作伙伴而不是员工,获得的名称——发票欺诈——更适合其作案手法。

在这种情况下,组织的客户会收到一封电子邮件,要求紧急向特定银行账户支付发票。

资料来源:加拿大广播公司新闻

这个成功率最高,因为它通常是使用被黑的公司电子邮件地址完成的。 由于电子邮件是专业人士交流的方式,有时是专门的交流方式,因此会给目标组织带来巨大的财务和声誉损失。

如何检查CEO舞弊?

作为一名员工,很难拒绝自己 CEO 的请求。 这种心理是肇事者仅凭一封随机电子邮件就可以轻松获得成功的主要原因。

除了询问财务要求外,最好在“合作”之前要求进行视频会议。

此外,在大多数情况下,您只需要仔细检查电子邮件地址即可。 这可能不属于您的组织,或者公司名称的拼写版本可能有误。

此外,一个机构不可能注册所有的域名后缀。 所以,你需要小心收到来自 [email protected] 正式地址应该是什么时候 [email protected]

最后,您可能会收到来自“外部”操作的公司地址或流氓内部成员的电子邮件。 这种情况的关键是口头确认或在进行任何付款之前让多名高管参与其中。

如果您领导一个组织,保护组织的最有效方法是将网络钓鱼模拟纳入日常员工培训。 因为这些骗子不断进化。 因此,发出一次单一的一次性警告对您的员工没有多大帮助。

包起来!

不幸的是,我们严重依赖商业电子邮件,留下了犯罪分子经常利用的大漏洞。

虽然目前还没有这种通信形式的替代品,但我们可以在 Slack 甚至 WhatsApp 等应用程序上添加业务合作伙伴。 这将有助于快速确认是否有任何可疑之处并避免此类挫折。

PS:如果我是你,我不会错过这篇涵盖网络犯罪类型的文章,以提高互联网素养。