Zer da CEO Fraud?
Beraz, zer da CEO Fraud hala ere?
CEO iruzurra ziberkriminalek langileak dirua transferi ditzaten edo konpainiaren isilpeko informazioa emateko erabiltzen duten posta elektronikoko iruzurra da.
Ziberkriminalek mezu elektroniko jakintsuak bidaltzen dituzte konpainiako zuzendari nagusiaren edo konpainiako beste zuzendari batzuen ordezkapena eginez, eta langileei eskatzen diete, normalean HR edo kontabilitatean, alanbre transferentzia bat bidaliz laguntzeko. Sarritan Business Email Compromise (BEC) deritzona, ziberdelitu honek faltsututako edo arriskuan dauden posta elektronikoko kontuak erabiltzen ditu posta elektronikoko hartzaileak engainatzeko.
CEO iruzurra ingeniaritza sozialeko teknika bat da, posta elektronikoaren hartzailearen konfiantza irabaztean oinarritzen dena. CEO iruzurraren atzean dauden ziberkriminalek badakite jende gehienak ez dituela helbide elektronikoak oso gertutik ikusten edo ortografian desberdintasun txikiak ikusten.
Mezu elektroniko hauek hizkuntza ezaguna baina premiazkoa erabiltzen dute eta argi uzten dute hartzaileak mesede handia egiten diola bidaltzaileari lagunduz. Ziberkriminalak elkarrengan konfiantza izateko giza sena eta besteei lagundu nahi nahia harrapatzen dute.
CEOen iruzurrezko erasoak phishing, spear phishing, BEC eta baleen harrapaketarekin hasten dira konpainiako zuzendariak ordezkatzeko.
CEO Fraud batez besteko negozioak kezkatu behar duen zerbait al da?
CEOen iruzurra gero eta ohikoagoa da ziberdelitua. Ziberkriminalek badakite denek sarrera-ontzi osoa dutela, eta erraz harrapatzea erraza da jendea eta erantzuteko konbentzitzea.
Funtsezkoa da langileek mezu elektronikoak arretaz irakurtzearen eta igorlearen helbidea eta izena egiaztatzearen garrantzia ulertzea. Zibersegurtasunaren inguruko prestakuntza eta etengabeko heziketa funtsezkoak dira jendeari ziber-jakitun izatearen garrantziaz gogoratzeko, mezu elektronikoei eta sarrera-ontziari dagokionez.
Zeintzuk dira CEOen iruzurrearen arrazoiak?
Ziberkriminalak lau taktika nagusitan oinarritzen dira zuzendari nagusiaren iruzurra egiteko:
Gizarte Ingeniaritza
Gizarte-ingeniaritza konfiantzazko giza senan oinarritzen da jendeari konfidentziala informazioa utz diezaion engainatzeko. Arretaz idatzitako mezu elektronikoak, testu-mezuak edo telefono-deiak erabiliz, ziberkriminalak biktimaren konfiantza irabazten du eta eskatutako informazioa emateko edo, adibidez, transferentzia elektronikoa bidaltzeko konbentzitzen du. Arrakasta izateko, ingeniaritza sozialak gauza bakarra behar du: biktimaren konfiantza. Beste teknika horiek guztiak ingeniaritza sozialaren kategorian sartzen dira.
Phishing
Phishing-a ziberdelitua da, eta, besteak beste, mezu elektroniko engainagarriak, webguneak eta testu-mezuak erabiltzen dituen taktikak erabiltzen ditu dirua, zerga informazioa eta isilpeko beste informazio batzuk lapurtzeko. Ziberkriminalek mezu elektroniko ugari bidaltzen dizkiete konpainiako langile ezberdinei, hartzaile bat edo gehiago erantzuteko asmoz. Phishing teknikaren arabera, gaizkileak malwarea erabil dezake deskarga daitekeen mezu elektronikoaren eranskin batekin edo lurreratze orri bat konfiguratu erabiltzailearen kredentzialak lapurtzeko. Edozein metodo erabiltzen da CEOren posta-kontura, kontaktu-zerrenda edo isilpeko informaziora atzitzeko, gero kontseilurik gabeko hartzaileei zuzendutako iruzur-mezuak bidaltzeko erabili ahal izateko.
Lantza Phishing
Spear phishing erasoek posta elektroniko oso zuzenduak erabiltzen dituzte partikularren eta enpresen aurka. Spear phishing-eko mezu elektroniko bat bidali aurretik, ziber-kriminalek Internet erabiltzen dute beren helburuei buruzko datu pertsonalak biltzeko, gero spear phishing-eko mezu elektronikoan erabiltzen direnak. Hartzaileak posta elektronikoaren bidaltzailean fidatzen dira eta eskaera egiten dute negozioarekin egiten duten enpresa batetik datorrelako edo bertaratutako ekitaldi bati erreferentzia egiten diolako. Hartzailea engainatu egiten da eskatutako informazioa ematen, gero ziberdelitu gehiago egiteko, zuzendari nagusiaren iruzurra barne.
Balearen Ehiza Exekutiboa
Baleen arrantza exekutiboa ziberdelitu sofistikatua da, non gaizkileek konpainiako zuzendari nagusiak, zuzendariak eta beste zuzendari batzuk ordezkatzen dituztenak, biktimak jarduteko engainatzeko asmoz. Helburua exekutiboaren agintea edo egoera erabiltzea da hartzaileak azkar erantzuteko konbentzitzeko eskaera beste lankide batekin egiaztatu gabe. Biktimek zerbait ona egiten ari direla sentitzen dute beren zuzendari nagusiari eta enpresari lagunduz, adibidez, hirugarren enpresa bati ordainduz edo zerbitzari pribatu batera zerga dokumentuak kargatuz.
CEO iruzur-teknika hauek funtsezko elementu batean oinarritzen dira: jendea lanpetuta dagoela eta ez diela arreta osoa jartzen mezu elektronikoei, webguneen URLei, testu-mezuei edo ahots-mezuei buruzko xehetasunei. Akats ortografiko bat edo helbide elektroniko apur bat desberdin bat falta da, eta ziberkriminalak irabaziko du.
Garrantzitsua da enpresako langileei segurtasunari buruzko heziketa eta ezagutza eskaintzea, helbide elektronikoei, enpresen izenei eta susmoaren kutsua duten eskaerei arreta jartzearen garrantzia indartzen dutena.
Nola saihestu CEOren iruzurra
- Hezi zure langileei CEO ohiko iruzur taktikei buruz. Aprobetxatu doako phishing-a simulatzeko tresnak phishing, gizarte-ingeniaritza eta CEO iruzur-arriskua hezteko eta identifikatzeko.
- Erabili frogatutako segurtasun-kontzientziarako prestakuntza eta phishing-aren simulazio-plataformak, CEOren iruzurrezko erasoen arriskuak langileentzat gogoan mantentzeko. Sortu barneko zibersegurtasunaren heroiak, zure erakundea zibersegurtasuna mantentzeko konpromisoa hartu dutenak.
- Gogoratu zure segurtasun-buruei eta ziber-segurtasun-heroiei langileen ziber-segurtasuna eta iruzurrari buruzko kontzientzia aldian-aldian kontrolatzeko phishing-a simulatzeko tresnekin. Aprobetxatu CEO iruzurrezko mikroikaskuntza moduluak portaera hezteko, trebatzeko eta aldatzeko.
- Eman etengabeko komunikazioa eta kanpainak zibersegurtasunari, zuzendari nagusiak iruzurrari eta ingeniaritza sozialari buruz. Honek pasahitz politika sendoak ezartzea eta langileei mezu elektronikoen, URLen eta eranskinen formatuan egon daitezkeen arriskuei buruz gogoraraztea dakar.
- Ezarri sarera sartzeko arauak gailu pertsonalen erabilera mugatzen dutenak eta zure sare korporatibotik kanpo informazioa partekatzea.
- Ziurtatu aplikazio guztiak, sistema eragileak, sareko tresnak eta barneko software guztiak eguneratuta eta seguru daudela. Instalatu malware babesa eta spamaren aurkako softwarea.
- Sartu zibersegurtasunaren sentsibilizazio kanpainak, prestakuntza, laguntza, hezkuntza eta proiektuen kudeaketa zure kultura korporatiboan.
Nola lagun dezake phishing-aren simulazio batek CEOen iruzurra saihesten?
- Enpresen eta langileen ahultasun-mailak neurtzea
- Murriztu ziber mehatxuen arrisku maila
- Gehitu erabiltzaileen aditasuna CEOren iruzurrari, phishingari, spear phishingari, ingeniaritza sozialari eta bale-arrantza exekutiboei dagokienez.
- Sartu zibersegurtasunaren kultura eta sortu zibersegurtasunaren heroiak
- Aldatu jokabidea konfiantzazko erantzun automatikoa ezabatzeko
- Inplementatu phishing-aren aurkako irtenbide zuzenduak
- Babestu datu korporatibo eta pertsonal baliotsuak
- Industriaren betebeharrak betetzea
- Zibersegurtasuneko sentsibilizazio prestakuntzaren inpaktuak ebaluatzea
- Murriztu datu-hausteak eragiten dituen eraso mota ohikoena
Lortu informazio gehiago CEOen iruzurrari buruz
CEO-en iruzurrari buruz eta zure erakundearen segurtasuna jakitun mantentzeko modurik onenak ezagutzeko, jarri gurekin harremanetan Edozein zalantza izanez gero.
