Czym jest oszustwo „na szefa”?

Oszustwo „na Szefa” to oszustwo, w którym cyberprzestępcy podszywają się pod firmowe konta e-mail kadry kierowniczej, aby oszukać pracownika działu księgowości lub kadr i nakłonić go do wykonania nieautoryzowanego przelewu lub wysłania poufnych informacji.

FBI nazywa ten rodzaj oszustwa „Business Email Compromise” i definiuje je jako „zaawansowane oszustwo ukierunkowane na firmy współpracujące z zagranicznymi dostawcami i/lub firmy, które regularnie dokonują płatności przelewem”. Oszustwo to polega na przejęciu kontroli nad kontami e-mailowymi firm, poprzez techniki socjotechniczne lub włamania komputerowe w celu przeprowadzenia nieautoryzowanego transferu środków.

Według statystyk FBI, straty z tych oszustw wynoszą obecnie ok. 26 miliardów dolarów. W okresie od maja 2018 r. do lipca 2019 r. nastąpił 100% wzrost strat. Oszustwo zostało zgłoszone w 50 stanach i w 150 krajach. Skargi ofiar złożone do IC3 oraz źródła o charakterze finansowym wskazują, że przelewy zostały wysłane do banków z około 140 krajów.

FBI informuje, że oszustwa tego typu razem z innymi cyberprzestępstwami, takimi jak ransomware i inne oszustwa internetowe, przyniosły łącznie ponad 4,1 miliarda dolarów w samym tylko roku 2020, a liczba zgłoszonych przypadków tych oszustw wzrosła z 467 000 do ponad 791 000 (wzrost o 69%) w latach 2019-2020. Wyraźnie widać, że oszustwa „na szefa” i inne formy cyberprzestępstw nie znikną, a przeciwnie, będą zdarzały się coraz częściej.

Cztery najpopularniejsze metody ataku

 

Zrozumienie różnych wektorów ataku w przypadku tego typu przestępstw jest kluczem do zapobiegania im. Oto kilka przykładów wektorów używanych przez cyberprzestępców:

Phishing

Wiadomości phishingowe są wysyłane jednocześnie do dużej liczby użytkowników, w celu „wyłowienia” poufnych informacji poprzez podawanie się za zaufane źródła – często z dołączonym logo przypominającym prawdziwe. Banki, dostawcy kart kredytowych, firmy kurierskie, organy ścigania i urząd skarbowy to tylko niektóre z popularnych instytucji, pod które mogą podszywać się przestępcy. Kampanie phishingowe zazwyczaj rozsyłają wiadomości e-mail do dużej liczby użytkowników. Większość z nich trafia na przykład do osób, które nie korzystają z usług danego banku, ale dzięki samej ich ilości zazwyczaj przynajmniej część odbiorców należy do potencjalnych ofiar.

Spear Phsishing

Jest to znacznie bardziej zaawansowana forma phishingu. Cyberprzestępca analizuje grupę, na przykład przez dane z portali społecznościowych, w celu oszukania użytkowników. E-mail spear phishingowy jest zazwyczaj kierowany do pojedynczej osoby lub niewielkiej grupy osób, korzystających z danego banku lub usługi. Wiadomość jest spersonalizowana – może zawierać imię i nazwisko osoby lub nazwisko klienta.

Polowanie na Grube Ryby

W tym przypadku cyberprzestępcy biorą na celownik członków kadry kierowniczej i administratorów, zazwyczaj w celu wyłudzenia pieniędzy z kont lub kradzieży poufnych danych. Cechą charakterystyczną tego typu oszustw jest duże spersonalizowanie wiadomości, umożliwione przez dokładną znajomość celu i organizacji, do której należy.

Socjotechnika

W dziedzinie bezpieczeństwa inżynieria społeczna oznacza wykorzystywanie manipulacji psychologicznej, w celu nakłonienia danej osoby do ujawnienia poufnych informacji lub udostępnienia środków finansowych. Inżynieria społeczna może obejmować pozyskiwanie informacji z serwisów społecznościowych, takich jak LinkedIn, Facebook i inne, które dostarczają wielu informacji o pracownikach organizacji. Mogą to być informacje kontaktowe, powiązania, znajomi, bieżące transakcje biznesowe i inne.

5 typowych strategii ataku

  1. Firma współpracująca z zagranicznym dostawcą: To oszustwo wykorzystuje długotrwałe relacje z dostawcą w zakresie przelewów, ale prosi o przesłanie środków na inne konto.
  2. Żądanie przelewu: Dzięki kompromitacji i/lub spoofingowi kont e-mail najwyższego kierownictwa, do innego pracownika zostaje wysłana wiadomość z poleceniem przelania środków. Inny przykład: instytucja finansowa otrzymuje od firmy prośbę o przesłanie pieniędzy na konto. Żądania te wyglądają na autentyczne, ponieważ pochodzą z odpowiedniego adresu e-mail.
  3. Kontakty biznesowe otrzymujące oszukańczą korespondencję: Poprzez przejęcie konta e-mail pracownika i wysyłanie faktur do dostawców firmy, pieniądze są przekazywane na konta należące do przestępców.
  4. Podszywanie się pod kierowników i adwokatów: Oszuści podają się za prawników lub kadrę kierowniczą, zajmującą się sprawami poufnymi i wymagającymi błyskawicznej reakcji ze strony odbiorcy wiadomości.
  5. Kradzież danych: Fałszywe wiadomości e-mail zawierają prośbę o przesłanie formularzy wynagrodzeń, zestawień podatkowych (W-2) albo listy umożliwiającej identyfikację osób (PII). Wiadomości te pochodzą ze skompromitowanych i/lub sfałszowanych kont e-mail kadry kierowniczej i są wysyłane do działu kadr, księgowości lub działu audytu.

Cele oszustw “na szefa”

Nie tylko prezes jest na celowniku przestępców. Istnieją cztery inne grupy pracowników, które są uważane za atrakcyjne cele, ze względu na ich role i dostęp do funduszy/informacji:

Finanse

Dział finansowy jest szczególnie narażony w przedsiębiorstwach, które regularnie dokonują dużych przelewów. Zbyt często niechlujna polityka wewnętrzna wymaga jedynie e-maila od prezesa lub innej osoby na wyższym stanowisku, aby zainicjować przelew. Cyberprzestępcy zazwyczaj dostają się do firmy poprzez phishing, spędzają kilka miesięcy na wywiadzie i formułują plan. Odwzorowują zwykłe protokoły autoryzacji przelewów, przejmują odpowiednie konto e-mail i wysyłają prośbę do odpowiedniej osoby w dziale finansowym o przekazanie środków. Oprócz dyrektora finansowego, może to być każda osoba w dziale księgowości, która jest upoważniona do przekazywania środków.

HR

Dział kadr stanowi cudownie otwartą autostradę do nowoczesnego przedsiębiorstwa. Ma przecież dostęp do każdej osoby w organizacji, zarządza bazą danych pracowników i odpowiada za rekrutację. Jako taki, główną funkcją jest otwieranie życiorysów od tysięcy potencjalnych kandydatów. Wszystko, co cyberprzestępcy muszą zrobić, to umieścić oprogramowanie szpiegowskie wewnątrz życiorysu i mogą ukradkiem rozpocząć swoje wczesne działania, związane z gromadzeniem danych. Ponadto, oszustwa dotyczące W2 i PII stały się bardziej powszechne. Działy kadr otrzymują zapytania w podrobionych wiadomościach e-mail, co kończy się wysłaniem informacji o pracownikach, takich jak numery ubezpieczenia społecznego i adresy e-mail pracowników do organizacji przestępczych.

Kierownictwo

Każdy członek zarządu może być uznany za cel o dużej atrakcyjności. Wielu z nich posiada pewnego rodzaju autorytet związany z finansami. Jeśli ich konta e-mail zostaną zhakowane, zazwyczaj zapewnia to cyberprzestępcom dostęp do wszelkiego rodzaju poufnych informacji, nie wspominając o danych wywiadowczych dotyczących rodzajów transakcji, które mogą być w toku. Dlatego konta kadry kierowniczej muszą być przedmiotem szczególnej uwagi z punktu widzenia bezpieczeństwa.

IT

Kierownik działu IT i pracownicy IT posiadający uprawnienia w zakresie kontroli dostępu, zarządzania hasłami i kontami e-mail stanowią kolejne cele o dużej atrakcyjności. Jeśli ich poświadczenia zostaną zhakowane, przestępcy uzyskują dostęp do każdego obszaru organizacji.

Nadzór nad zarządem i obowiązek powierniczy

Ochrona przed wirusami i złośliwym oprogramowaniem przez długi czas była postrzegana jako problem czysto IT. Niektóre organizacje wyznaczają dyrektorów ds. bezpieczeństwa informacji (CISO), jednak bezpieczeństwo informacji jest wciąż często postrzegane jako wyzwanie, które jest za mało ważne by zarząd poświęcał mu uwagę.

Wydarzenia ostatnich lat pokazały jak niebezpieczny i nieodpowiedzialny jest ten punkt widzenia. Podczas gdy FBI ostrzega korporacje o zagrożeniu, a wiadomości pokazują kolejne głośne przypadki ataków, organizacje muszą zintegrować zarządzanie ryzykiem cybernetycznym z codziennymi operacjami.

Ponadto firmy muszą podejmować odpowiednie działania, aby zapobiegać cyberatakom i łagodzić skutki naruszeń. Pojęcie „racjonalnego działania” jest używane w wielu przepisach stanowych i federalnych w Stanach Zjednoczonych, Australii i innych krajach. Obwinianie o incydent IT lub członka personelu nie jest wystarczającą obroną. Dyrektorzy generalni są odpowiedzialni za przywrócenie normalnego działania po naruszeniu danych i zapewnienie ochrony aktywów oraz reputacji firmy. Niezastosowanie się do tych wymagań może otworzyć drzwi do działań prawnych.

Podsumowując: cyberatak może potencjalnie spowodować utratę dużego kontraktu, narazić na szwank Twoją własność intelektualną (IP) i pomniejszyć przychody, a to tylko kilka z konsekwencji. To plasuje cyberbezpieczeństwo mocno na szczycie schematu organizacyjnego, podobnie jak w przypadku wszystkich innych form ryzyka korporacyjnego.

Technologia vs Ludzka Zapora

Większość wysiłków zmierzających do ograniczenia ryzyka koncentruje się na technologii. Zabezpieczenia technologiczne muszą być jednak wspierane przez tak zwaną ludzką zaporę. Niezależnie od tego, jak dobrze zaprojektowano obwód obronny, cyberprzestępcy zawsze znajdą drogę do środka. Wiedzą, że pracownicy są najsłabszym ogniwem każdego systemu informatycznego. Dlatego cyberprzestępcy nadal polegają na phishingu i innych sztuczkach z podręcznika socjotechniki. Poniżej znajduje się MINIMUM tego, co należy wdrożyć, aby się obronić:

Technologia:

  • Antivirus
  • Antimalware
  • System wykrywania/zapobiegania włamaniom
  • Zapory
  • Filtry Wiadomości
  • Uwierzytelnianie dwuskładnikowe
  • Kopie zapasowe

Ludzka zapora:

  • Pracownicy są najsłabszym ogniwem każdego działu IT.
  • Personel musi być regularnie szkolony w zakresie cyberzagrożeń.
  • Każdy użytkownik musi być w stanie “na odległość” wykrywać wiadomości phishingowe.
  • Regularne testowanie użytkowników za pomocą wiadomości phishingowych utrzymuje ich czujność na wysokim poziomie.
  • Nowoczesne szkolenia z zakresu cyberzagrożeń, to najlepszy sposób na zarządzanie ludzką zaporą sieciową.

DARMOWE NARZĘDZIA

 

 

Informacje kontaktowe

IMNS Polska Sp. z o.o.
Wrocławski Park Technologiczny
ul. Klecińska 125, 54-413 Wrocław

Biuro konsultingowe w Warszawie
ul. Obrzeżna 3, 02-691 Warszawa

Kontakt z partnerem w Polsce:
Formularz Kontaktowy

O serwisie

Serwis IMNS Polska poświęcony rozwiązaniu KnowBe4.

Usługi IMNS w zakresie KnowBe4

Konsultacje  przedwdrożeniowe
Wsparcie przy wdrożeniu platformy szkoleniowej
Administrowanie platformą