อีเมลเป็นเวกเตอร์การโจมตีทั่วไปที่ใช้โดยผู้โจมตีและอาชญากรคอมพิวเตอร์ แต่ถ้าคุณคิดว่ามันใช้เพื่อแพร่กระจายมัลแวร์ ฟิชชิ่ง และการหลอกลวงค่าธรรมเนียมล่วงหน้าของไนจีเรียเท่านั้น ลองคิดใหม่อีกครั้ง มีการหลอกลวงทางอีเมลรูปแบบใหม่ที่ผู้โจมตีจะแสร้งทำเป็นหัวหน้าของคุณและให้คุณโอนเงินหลายพันดอลลาร์ของบริษัทไปยังบัญชีธนาคารที่พวกเขาควบคุม
เรียกว่า CEO Fraud หรือ "Insider Spoofing"
ทำความเข้าใจการโจมตี
ดังนั้นการโจมตีทำงานอย่างไร? เพื่อให้ผู้โจมตีสามารถโจมตีได้สำเร็จ พวกเขาจำเป็นต้องรู้ข้อมูลมากมายเกี่ยวกับบริษัทที่พวกเขากำลังกำหนดเป้าหมาย
ข้อมูลส่วนใหญ่เกี่ยวกับโครงสร้างลำดับชั้นของบริษัทหรือสถาบันที่พวกเขากำลังกำหนดเป้าหมาย พวกเขาจะต้องรู้ว่า ใคร พวกเขาจะแอบอ้าง แม้ว่าการหลอกลวงประเภทนี้จะเรียกว่า "การฉ้อโกงของ CEO" แต่ในความเป็นจริง มันกำหนดเป้าหมาย ใครก็ได้ ที่มีบทบาทอาวุโส – ใครก็ตามที่สามารถเริ่มการชำระเงินได้ พวกเขาจะต้องรู้ชื่อและที่อยู่อีเมลของพวกเขา นอกจากนี้ ยังช่วยให้ทราบกำหนดการ และเวลาที่จะเดินทาง หรือในวันหยุดอีกด้วย
สุดท้ายนี้ พวกเขาจำเป็นต้องรู้ว่าใครในองค์กรสามารถออกเงินได้ เช่น นักบัญชี หรือผู้จ้างงานฝ่ายการเงิน
ข้อมูลนี้ส่วนใหญ่สามารถพบได้บนเว็บไซต์ของบริษัทที่เป็นปัญหา บริษัทขนาดกลางและขนาดเล็กหลายแห่งมีหน้า "เกี่ยวกับเรา" ซึ่งแสดงรายชื่อพนักงาน บทบาทและความรับผิดชอบ และข้อมูลติดต่อ
การค้นหาตารางเวลาของใครบางคนอาจยากขึ้นเล็กน้อย คนส่วนใหญ่ไม่เผยแพร่ปฏิทินของตนทางออนไลน์ อย่างไรก็ตาม ผู้คนจำนวนมากเผยแพร่การเคลื่อนไหวของพวกเขาบนเว็บไซต์โซเชียลมีเดีย เช่น Twitter, Facebook และ Swarm (เดิมคือ Foursquare) ผู้โจมตีต้องรอจนกว่าพวกเขาจะออกจากสำนักงานและโจมตีได้
เมื่อผู้โจมตีมีปริศนาทุกอย่างที่จำเป็นในการโจมตีแล้ว พวกเขาจะส่งอีเมลถึงพนักงานการเงินโดยอ้างว่าเป็น CEO และขอให้เริ่มการโอนเงินไปยังบัญชีธนาคารที่พวกเขาควบคุม
อีเมลต้องมีลักษณะเป็นของแท้จึงจะใช้งานได้ พวกเขาจะใช้บัญชีอีเมลที่ "ถูกต้องตามกฎหมาย" หรือน่าเชื่อถือ (เช่น firstname.lastname.arbitrarynumber@gmail.com ) หรือ 'ปลอมแปลง' อีเมลแท้ของ CEO นี่คือที่ที่ส่งอีเมลพร้อมส่วนหัวที่แก้ไข ดังนั้นฟิลด์ "จาก:" จะมีอีเมลแท้ของ CEO ผู้โจมตีที่มีแรงจูงใจบางคนจะพยายามขอให้ CEO ส่งอีเมลถึงพวกเขา เพื่อให้พวกเขาสามารถจำลองสไตล์และความสวยงามของอีเมลได้
ผู้โจมตีจะหวังว่าพนักงานการเงินจะถูกกดดันให้เริ่มการโอนโดยไม่ต้องตรวจสอบกับผู้บริหารเป้าหมายก่อน การเดิมพันนี้มักจะให้ผลตอบแทน โดยบางบริษัทมีการจ่ายเงินหลายแสนดอลลาร์โดยไม่เจตนา บริษัทแห่งหนึ่งในฝรั่งเศสซึ่งถูก BBC สร้างขึ้นโดย BBC สูญเสียเงินไป 100,000 ยูโร ผู้โจมตีพยายามที่จะได้เงิน 500,000 แต่ทั้งหมดยกเว้นหนึ่งในการชำระเงินถูกบล็อกโดยธนาคารซึ่งสงสัยว่ามีการฉ้อโกง
วิธีการทำงานของการโจมตีแบบ Social Engineering
ภัยคุกคามความปลอดภัยของคอมพิวเตอร์แบบดั้งเดิมมักจะมีลักษณะเป็นเทคโนโลยี ด้วยเหตุนี้ คุณสามารถใช้มาตรการทางเทคโนโลยีเพื่อเอาชนะการโจมตีเหล่านี้ได้ หากคุณติดมัลแวร์ คุณสามารถติดตั้งโปรแกรมป้องกันไวรัสได้ หากมีคนพยายามแฮ็คเว็บเซิร์ฟเวอร์ของคุณ คุณสามารถจ้างคนเพื่อทำการทดสอบการเจาะระบบ และแนะนำคุณว่าคุณจะ 'เสริมความแข็งแกร่ง' ให้เครื่องกับการโจมตีอื่นๆ ได้อย่างไร
การโจมตีทางวิศวกรรมสังคม - ซึ่งเป็นตัวอย่างของการฉ้อโกงของ CEO - ยากที่จะบรรเทาลงได้ เพราะพวกเขาไม่ได้โจมตีระบบหรือฮาร์ดแวร์ พวกเขากำลังโจมตีผู้คน แทนที่จะใช้ประโยชน์จากช่องโหว่ในโค้ด พวกเขาใช้ประโยชน์จากธรรมชาติของมนุษย์ และความจำเป็นทางชีวภาพตามสัญชาตญาณของเราในการไว้วางใจผู้อื่น คำอธิบายที่น่าสนใจที่สุดประการหนึ่งของการโจมตีครั้งนี้เกิดขึ้นที่การประชุม DEFCON ในปี 2013
การแฮ็กที่น่ากลัวที่สุดบางส่วนเป็นผลมาจากวิศวกรรมสังคม
ในปี 2012 Mat Honan อดีตนักข่าวสายลับพบว่าตัวเองถูกโจมตีโดยกลุ่มอาชญากรไซเบอร์ที่ตั้งใจแน่วแน่ที่จะทำลายชีวิตออนไลน์ของเขา การใช้กลวิธีทางวิศวกรรมทางสังคม พวกเขาสามารถโน้มน้าวให้ Amazon และ Apple ให้ข้อมูลที่จำเป็นในการล้างข้อมูล MacBook Air และ iPhone จากระยะไกล ลบบัญชีอีเมลของเขา และยึดบัญชี Twitter ที่มีอิทธิพลของเขาเพื่อโพสต์คำเหยียดเชื้อชาติและเหยียดเพศ . คุณสามารถอ่านเรื่องราวอันหนาวเหน็บได้ที่นี่
การโจมตีทางวิศวกรรมสังคมแทบจะไม่เป็นนวัตกรรมใหม่ แฮ็กเกอร์ใช้สิ่งเหล่านี้มาเป็นเวลาหลายสิบปีเพื่อเข้าถึงระบบ อาคาร และข้อมูลมานานหลายทศวรรษ หนึ่งในวิศวกรสังคมที่โด่งดังที่สุดคือ Kevin Mitnick ซึ่งในช่วงกลางทศวรรษ 90 ได้ใช้เวลาหลายปีในการหลบซ่อนตัวจากตำรวจ หลังจากก่ออาชญากรรมทางคอมพิวเตอร์เป็นจำนวนมาก เขาถูกจำคุกเป็นเวลาห้าปีและถูกห้ามไม่ให้ใช้คอมพิวเตอร์จนถึงปี 2546 ขณะที่แฮกเกอร์ดำเนินไป Mitnick ก็ใกล้ชิดที่สุดเท่าที่จะทำได้เพื่อมีสถานะเป็นร็อคสตาร์ เมื่อเขาได้รับอนุญาตให้ใช้อินเทอร์เน็ตได้ในที่สุด มันก็ถูกถ่ายทอดสดทาง The Screen Savers ของ Leo Laporte .
ในที่สุดเขาก็ไปถูกกฎหมาย ตอนนี้เขาบริหารบริษัทที่ปรึกษาด้านความปลอดภัยคอมพิวเตอร์ของตัวเอง และได้เขียนหนังสือเกี่ยวกับวิศวกรรมสังคมและการแฮ็กหลายเล่ม บางทีสิ่งที่ได้รับการยกย่องมากที่สุดคือ "ศิลปะแห่งการหลอกลวง" โดยพื้นฐานแล้วนี่คือกวีนิพนธ์ของเรื่องสั้นที่พิจารณาว่าสามารถดึงการโจมตีทางวิศวกรรมสังคมออกไปได้อย่างไร และวิธีป้องกันตัวเองจากการโจมตีเหล่านั้น และมีจำหน่ายที่ Amazon
ศิลปะแห่งการหลอกลวง:การควบคุมองค์ประกอบด้านความปลอดภัยของมนุษย์ ซื้อเลยใน AMAZON สิ่งที่สามารถทำได้เกี่ยวกับการฉ้อโกงของ CEO
มาสรุปกัน เรารู้ว่า CEO Fraud นั้นแย่มาก เรารู้ว่าบริษัทจำนวนมากต้องเสียเงินเป็นจำนวนมาก เรารู้ว่ามันยากที่จะบรรเทาลงได้อย่างไม่น่าเชื่อ เพราะเป็นการโจมตีมนุษย์ ไม่ใช่กับคอมพิวเตอร์ สิ่งสุดท้ายที่เราต้องปกปิดคือวิธีที่เราต่อสู้กับมัน
พูดง่ายกว่าทำ หากคุณเป็นพนักงานและคุณได้รับคำขอให้ชำระเงินที่น่าสงสัยจากนายจ้างหรือเจ้านายของคุณ คุณอาจต้องการตรวจสอบกับพวกเขา (โดยใช้วิธีการอื่นที่ไม่ใช่อีเมล) เพื่อดูว่าเป็นการชำระเงินจริงหรือไม่ พวกเขาอาจจะรู้สึกรำคาญเล็กน้อยที่คุณรบกวนพวกเขา แต่พวกเขาก็อาจจะ มากกว่า รำคาญถ้าคุณส่งเงินของบริษัท 100,000 ดอลลาร์ไปยังบัญชีธนาคารต่างประเทศ
มีโซลูชั่นทางเทคโนโลยีที่สามารถใช้ได้เช่นกัน การอัปเดตที่กำลังจะมีขึ้นของ Microsoft สำหรับ Office 365 จะมีการป้องกันการโจมตีประเภทนี้ โดยการตรวจสอบแหล่งที่มาของอีเมลแต่ละฉบับเพื่อดูว่ามาจากผู้ติดต่อที่เชื่อถือได้หรือไม่ Microsoft ถือว่าพวกเขาได้รับการปรับปรุง 500% ในวิธีที่ Office 365 ระบุอีเมลปลอมหรือปลอมแปลง
อย่าโดนต่อย
วิธีที่เชื่อถือได้มากที่สุดในการป้องกันการโจมตีเหล่านี้คือการไม่เชื่อ เมื่อใดก็ตามที่คุณได้รับอีเมลที่ขอให้คุณโอนเงินจำนวนมาก ให้โทรหาหัวหน้าของคุณเพื่อดูว่าถูกต้องหรือไม่ หากคุณมีปัญหากับแผนกไอที ลองขอให้พวกเขาย้ายไปที่ Office 365 ซึ่งเป็นผู้นำกลุ่มในการต่อสู้กับ CEO Fraud
ฉันหวังว่าจะไม่เป็นเช่นนั้น แต่คุณเคยตกเป็นเหยื่อของการหลอกลวงทางอีเมลที่มีแรงจูงใจด้านเงินหรือไม่? ถ้าเป็นเช่นนั้นฉันอยากได้ยินเกี่ยวกับมัน แสดงความคิดเห็นด้านล่าง แล้วบอกฉันว่าเกิดอะไรขึ้น
เครดิตภาพ:AnonDollar (Your Anon), Miguel The Entertainment CEO (Jorge)
