Page d'accueil Sécurité Fraude de PDG Cette arnaque vous fera virer et coûtera votre argent à votre patron

Fraude de PDG Cette arnaque vous fera virer et coûtera votre argent à votre patron

  • Brian Curtis
  • 0
  • 2430
  • 60
Publicité

Le courrier électronique est un vecteur d’attaque courant utilisé par les fraudeurs et les cybercriminels. Mais si vous pensiez que cela n’était utilisé que pour propager des programmes malveillants, du phishing et des escroqueries payées à l’avance par le Nigéria, les courriels frauduleux au Nigéria cachent-ils un terrible secret? [Opinion] Les courriels frauduleux nigérians cachent-ils un terrible secret? [Opinion] Un autre jour, un autre courrier indésirable arrive dans ma boîte de réception, contournant en quelque sorte le filtre antispam de Windows Live qui protège si bien les yeux de tous les autres messages non sollicités…, détrompez-vous. Il y a une nouvelle arnaque par courrier électronique dans laquelle un attaquant se fait passer pour votre patron et vous oblige à transférer des milliers de dollars de fonds de la société sur un compte bancaire qu'ils contrôlent..

Ça s'appelle Fraude de PDG, ou “Usurpation d'initié”.

Comprendre l'attaque

Alors, comment fonctionne l'attaque? Eh bien, pour qu'un attaquant réussisse, il doit connaître beaucoup d'informations sur la société qu'il cible..

Une grande partie de ces informations concerne la structure hiérarchique de l'entreprise ou de l'institution ciblée. Ils auront besoin de savoir qui ils vont se faire passer pour. Bien que ce type d’arnaque soit connu sous le nom de “Fraude PDG”, en réalité, il vise n'importe qui avec un rôle principal - toute personne qui serait en mesure d'initier des paiements. Ils devront connaître leur nom et leur adresse électronique. Il serait également utile de connaître leur emploi du temps, et quand ils voyageront ou en vacances.

Enfin, ils ont besoin de savoir qui dans l'organisation est capable d'émettre des virements, comme un comptable ou un employé du service financier.

Une grande partie de cette information peut être trouvée librement sur les sites Web de la société en question. De nombreuses petites et moyennes entreprises ont “À propos de nous” pages, où ils énumèrent leurs employés, leurs rôles et responsabilités, et leurs informations de contact.

Trouver les horaires de quelqu'un peut être un peu plus difficile. La grande majorité des gens ne publient pas leur calendrier en ligne. Cependant, de nombreuses personnes publient leurs mouvements sur des sites de médias sociaux tels que Twitter, Facebook et Swarm (anciennement Foursquare). Foursquare relance comme outil de découverte basé sur vos goûts Foursquare Relaunches comme un outil de découverte basé sur vos goûts Foursquare a ouvert la voie à l'enregistrement sur mobile; une mise à jour de statut basée sur la localisation indiquant exactement où vous vous trouviez et pourquoi - le passage à un pur outil de découverte est-il un pas en avant? . Un attaquant n’aurait qu’à attendre jusqu’à ce qu’il quitte le bureau pour pouvoir frapper.

Je suis au marché St George - @ stgeorgesbt1 à Belfast, comté d'Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17 janvier 2016

Une fois que l’attaquant dispose de toutes les pièces du puzzle dont il a besoin pour mener l’attaque, il envoie ensuite un courrier électronique à l’employé des finances, prétendant être le PDG, pour lui demander d’initier un transfert d’argent sur un compte bancaire qu’il contrôle..

Pour que cela fonctionne, le courrier électronique doit être authentique. Ils utiliseront soit un compte de messagerie qui a l’air "légitime" ou plausible (par exemple pré[email protected]), ou bien en "usurpant" le véritable email du PDG. Ce sera là où un email est envoyé avec des en-têtes modifiés, de sorte que le “De:” Ce champ contient le courrier électronique authentique du PDG. Certains attaquants motivés tenteront d’envoyer un e-mail au chef de la direction afin de leur permettre de reproduire le style et l’esthétique de leur courrier électronique..

L’attaquant espère que l’employé des finances subira des pressions pour qu’il initie le transfert sans consulter au préalable le responsable ciblé. Ce pari est souvent payant, certaines sociétés ayant indûment versé des centaines de milliers de dollars. Une entreprise française décrite par la BBC a perdu 100 000 euros. Les assaillants ont tenté d'obtenir 500 000 euros, mais tous les paiements sauf un ont été bloqués par la banque, qui soupçonnait une fraude..

Comment fonctionnent les attaques d'ingénierie sociale

Les menaces traditionnelles à la sécurité informatique ont tendance à être de nature technologique. En conséquence, vous pouvez utiliser des mesures techniques pour contrer ces attaques. Si vous êtes infecté par un logiciel malveillant, vous pouvez installer un programme anti-virus. Si quelqu'un tente de pirater votre serveur Web, vous pouvez en embaucher un pour effectuer un test d'intrusion et vous conseiller sur la façon de «durcir» la machine contre d'autres attaques..

Attaques d'ingénierie sociale Qu'est-ce que l'ingénierie sociale? [MakeUseOf explique] Qu'est-ce que l'ingénierie sociale? [MakeUseOf explique] Vous pouvez installer le pare-feu le plus puissant et le plus coûteux de l'industrie. Vous pouvez informer les employés des procédures de sécurité de base et de l'importance de choisir des mots de passe forts. Vous pouvez même verrouiller la salle des serveurs - mais en quoi ... - dont la fraude du PDG est un exemple - sont beaucoup plus difficiles à atténuer, car ils n'attaquent ni systèmes ni matériel. Ils attaquent les gens. Plutôt que d'exploiter les vulnérabilités du code, ils exploitent la nature humaine et notre impératif biologique instinctif de faire confiance aux autres. Une des explications les plus intéressantes de cette attaque a été faite à la conférence DEFCON en 2013.

Certains des hacks les plus audacieux et audacieux sont le produit de l'ingénierie sociale.

En 2012, Mat Honan, ancien journaliste de Wired, s'est trouvé attaqué par un groupe déterminé de cyber-criminels, déterminés à démanteler sa vie en ligne. En utilisant des tactiques d'ingénierie sociale, ils ont réussi à convaincre Amazon et Apple de leur fournir les informations nécessaires pour effacer à distance son MacBook Air et son iPhone, supprimer son compte de messagerie et s'emparer de son compte Twitter influent pour pouvoir publier des épithètes racistes et homophobes. . Vous pouvez lire le récit glaçant ici.

Les attaques d'ingénierie sociale ne sont pas une nouvelle innovation. Les pirates les utilisent depuis des décennies pour accéder aux systèmes, aux bâtiments et aux informations depuis des décennies. Kevin Mitnick est l’un des ingénieurs sociaux les plus notoires. Au milieu des années 90, il a passé des années à se cacher de la police après avoir commis une série de crimes informatiques. Il a été emprisonné pendant cinq ans et interdit d’utiliser un ordinateur jusqu’en 2003. À mesure que les pirates informatiques s'en vont, Mitnick était aussi proche que possible du statut de rockstar 10 des pirates les plus célèbres et les meilleurs au monde (et leurs histoires fascinantes) 10 des Les hackers les plus célèbres et les meilleurs au monde (et leurs histoires fascinantes) Les hackers au chapeau blanc contre les hackers au chapeau noir. Voici les meilleurs et les plus célèbres hackers de l'histoire et de ce qu'ils font aujourd'hui. . Quand il a finalement été autorisé à utiliser Internet, il a été télévisé sur Leo Laporte Les économiseurs d'écran.

Il est finalement allé légitime. Il dirige maintenant son propre cabinet de conseil en sécurité informatique et a écrit plusieurs ouvrages sur l'ingénierie sociale et le piratage. Peut-être que le plus apprécié est “L'art de la déception”. Ceci est essentiellement une anthologie de nouvelles qui montrent comment on peut se protéger des attaques d'ingénierie sociale et comment se protéger. Comment se protéger contre les attaques d'ingénierie sociale Comment se protéger contre les attaques d'ingénierie sociale La semaine dernière, nous avons examiné certaines des principales menaces d'ingénierie sociale que vous, votre entreprise ou vos employés devriez rechercher. En un mot, l'ingénierie sociale s'apparente à a… et peut être achetée sur Amazon..

Que peut-on faire contre la fraude du PDG??

Alors récapitulons. Nous savons que la fraude du PDG est affreuse. Nous savons que cela coûte beaucoup d'argent à beaucoup d'entreprises. Nous savons qu’il est extrêmement difficile de s’attaquer à ce problème, car c’est une attaque contre les humains, pas contre les ordinateurs. La dernière chose à couvrir est de savoir comment nous nous battons contre cela.

C'est plus facile à dire qu'à faire. Si vous êtes un employé et que vous avez reçu une demande de paiement douteuse de votre employeur ou de votre patron, vous pouvez vérifier avec eux (en utilisant une méthode autre que l'adresse électronique) pour vérifier si le paiement est authentique. Ils pourraient être un peu ennuyé de vous pour les déranger, mais ils seront probablement plus ennuyé si vous finissiez par envoyer 100 000 USD de fonds de la société sur un compte bancaire étranger.

Il existe aussi des solutions technologiques utilisables. La prochaine mise à jour de Microsoft pour Office 365 contiendra certaines protections contre ce type d'attaque, en vérifiant la source de chaque email pour voir s'il provient d'un contact de confiance. Microsoft estime avoir amélioré de 500% la façon dont Office 365 identifie les e-mails contrefaits ou falsifiés..

Ne soyez pas piqué

Le moyen le plus fiable de se protéger contre ces attaques est d’être sceptique. Chaque fois que vous recevez un e-mail vous demandant de faire un important transfert d'argent, appelez votre patron pour savoir s'il est légitime. Si vous avez quelque influence que ce soit sur le service informatique, envisagez de lui demander de passer à Office 365 Introduction à Office 365: Devriez-vous opter pour le nouveau modèle commercial Office? Introduction à Office 365: Si vous achetez dans le nouveau modèle d'entreprise Office? Office 365 est un package par abonnement qui offre un accès à la dernière suite bureautique de bureau, Office Online, au stockage en nuage et aux applications mobiles premium. Office 365 fournit-il suffisamment de valeur pour en avoir pour son argent? , qui est en tête en matière de lutte contre la fraude du PDG.

J'espère bien que non, mais avez-vous déjà été victime d'une escroquerie par courrier électronique motivée par l'argent? Si oui, je veux en entendre parler. Laisse un commentaire ci-dessous et dis-moi ce qui s'est passé.

Crédits photos: AnonDollar (Your Anon), Miguel le PDG du divertissement (Jorge)




Personne n'a encore commenté ce post.

Comment suivre combien de temps vous perdez sur les médias sociaux
Des médias sociaux
Un moyen moins connu de trouver de nouveaux sous-titres intéressants
Des médias sociaux
11 façons Facebook Messenger va bientôt gouverner votre vie
Des médias sociaux
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.