Fick du nyligen ett e-postmeddelande från din ”VD” där du bad om att överföra pengar till en ”leverantör”? Gör det inte! Det är ett VD-bedrägeri jag ska förklara i detalj.
Låt oss börja det här med en liten bakgrundshistoria.
VD-bedrägeri hände mig nästan två månader efter att jag började på adminvista.com som författare på heltid.
Det var inte uppenbart direkt, eftersom bedragaren använde ett välrenommerat domännamn Virgin Media ([email protected]), och jag trodde att min VD på något sätt var kopplad till detta telekommunikationsföretag eftersom båda är belägna i Storbritannien.
Så jag svarade på initialen ”Jag skulle vilja tilldela dig en uppgift, är du ledig?” positivt. Därefter beskrev avsändaren en uppgift som omfattar 24 610 INR (~$300) överföring till en leverantör, vars detaljer skulle ha delats om jag hade gått med på det.
Men detta gjorde mig lite misstänksam och jag bad avsändaren att bevisa sin identitet innan jag kunde överföra något. Några e-postmeddelanden senare ringde bedragaren upp och jag skickade konversationen till min faktiska VD och Virgin Media IT-cell.
Även om jag inte hade någon tidigare utbildning för att hantera den här typen av bedrägerier, hade jag turen att inte hamna i den här fällan.
Men vi bör inte lita på ren tur; i stället vet detta i förväg och utbilda andra.
Innehållsförteckning
CEO Fraud, aka Executive Phishing
Detta kommer under spjutfiske, en attack riktad mot en viss organisation eller några av dess anställda. Det kommer att kallas en valfångstfiskeattack om målet är en högprofilerad anställd (som en c-suite) på någon institution.
Federal Bureau of Investigation, USA, taggar dessa bedrägerier under Business Email Compromise (BEC) eller Email Account Compromise (EAC), som stod för nästan 2,4 miljarder USD i förluster 2021, enligt denna Internet Crime Report.
Geografiskt är Nigeria det land som är nummer ett med 46 % av VD-bedrägerierna, följt av USA (27 %) och Storbritannien (15 %).
Hur fungerar detta?
Noterbart är att VD-bedrägeri inte behöver några tekniska färdigheter eller kriminell kunskap. Allt du får är ett slumpmässigt e-postmeddelande och social ingenjörskonst för att lura dig att skicka pengar eller avslöja känsliga detaljer för ytterligare olagliga åtgärder.
Låt oss kolla in några sätt som dåliga skådespelare gör det här ”för närvarande.”
Typ 1
En slumpmässig e-postadress som imponerar när VD ber om lite pengar är den enklaste formen av sådana knep. Och den här är lätt att upptäcka. Allt du behöver leta efter är e-postadressen (och inte namnet).
I allmänhet är domännamnet ([email protected]) ger bort bedrägeri. E-postadressen kan dock indikera en känd organisation (som det var i mitt fall).
Dessa utmärkelser lade till legitimitet till bluffen, som kan drabba en oinformerad professionell. Dessutom kan e-postadressen se äkta ut men med små omärkliga förändringar, som @gmial.com istället för @gmail.com.
Slutligen kan det komma från en legitim men äventyrad e-postadress, vilket gör det extremt svårt att upptäcka bluffen.
Typ 2
En annan mer sofistikerad teknik använder videosamtal. Detta inkluderar en ”hanterad” e-postadress till en högst rankad tjänsteman som skickar ”brådskande” mötesförfrågningar online till sina anställda, mestadels inom ekonomiavdelningen.
Därefter ser deltagarna en bild utan ljud (eller med ett djupt falskt ljud) med ett påstående om att anslutningen inte fungerar som förväntat.
Därefter ber ’företagsledaren’ att få initiera en banköverföring till okända bankkonton, varifrån pengarna sugs av via andra kanaler (läs kryptovalutor) efter ett framgångsrikt bedrägeri.
Typ 3
Den här är en variant av typ 1 men riktar sig till affärspartners och inte anställda, och får ett namn – fakturabedrägeri – mer anpassat till dess arbetssätt.
I det här fallet får en organisations klient ett e-postmeddelande för att snabbt betala en faktura till specifika bankkonton.
Källa: CBC News
Den här har den högsta framgångsfrekvensen eftersom den normalt dras av med en hackad företags-e-postadress. Och eftersom e-post är sättet, ibland uteslutande, proffs kommunicerar, resulterar det i enorma ekonomiska och rykteförluster för målorganisationen.
Hur kontrollerar man VD-bedrägeri?
Som anställd är det tufft att avslå en begäran från sin egen vd. Detta psyke är den främsta orsaken till att förövare lätt lyckas med bara ett slumpmässigt e-postmeddelande.
Förutom att ifrågasätta ekonomiska förfrågningar är det bäst att be om ett videomöte innan du ”samarbetar”.
Dessutom behöver du i de flesta fall bara kontrollera e-postadressen noggrant. Detta kanske inte tillhör din organisation eller kan ha felstavade versioner av företagsnamnet.
Dessutom kan en institution inte registrera alla domäntillägg. Så du måste akta dig för att få ett e-postmeddelande från [email protected] när den officiella adressen ska vara [email protected]
Slutligen kan du få e-postmeddelanden från en företagsadress som drivs utifrån eller från en falsk intern medlem. Nyckeln till en sådan situation är muntlig bekräftelse eller att hålla flera chefer i kretsen innan de gör några betalningar.
Och det mest effektiva sättet att skydda din organisation, om du leder en, är att införliva nätfiske-simulering i rutinutbildning för anställda. Eftersom dessa bedragare ständigt utvecklas. Så att ge en enda engångsvarning kommer inte att hjälpa dina anställda mycket.
Avslutar!
Tyvärr är vi starkt beroende av affärse-post, vilket lämnar stora kryphål som kriminella ofta utnyttjar.
Även om det inte finns någon ersättning för denna form av kommunikation än, kan vi lägga till affärspartners i applikationer som Slack eller till och med WhatsApp. Detta hjälper dig snabbt att bekräfta om något verkar misstänkt och undvika sådana bakslag.
PS: Om jag var du skulle jag inte missa den här artikeln som täcker olika typer av cyberbrott för ökad internetkunskap.