Απάτη κοινωνικής μηχανικής

Απάτη κοινωνικής μηχανικής: Είναι η επιχείρησή σας ασφαλισμένη

κατά των Spear Phishers με καλό σκοπό;

Τι είναι η απάτη κοινωνικής μηχανικής; Μπορεί να μην νομίζεις ότι ξέρεις, αλλά ξέρεις. Στην πραγματικότητα, έχετε ήδη στοχοποιηθεί επανειλημμένα και πρόσφατα, πιθανότατα ακόμη και σήμερα. Η απάτη κοινωνικής μηχανικής είναι η κύρια αιτία παραβιάσεων δεδομένων και έχει ως αποτέλεσμα την κλοπή δισεκατομμυρίων δολαρίων. Λοιπόν, τι ακριβώς είναι;

Σύμφωνα με την Interpol, αυτό είναι σωστό, η Interpol, Social Engineering Fraud είναι ένας τύπος απάτης που εξαπατά, εξαπατά ή χειραγωγεί τα θύματα για να ξεκινήσουν μεταφορές χρημάτων ή να αποκαλύψουν εμπιστευτικές και προσωπικές πληροφορίες που μπορούν στη συνέχεια να χρησιμοποιηθούν για παράνομους σκοπούς. Βασίζεται στην αλληλεπίδραση ανθρώπου με άνθρωπο, όχι όπλα ή χάκερ, για να διαπράξει ένα έγκλημα.

Το phishing είναι η πιο κοινή μορφή απάτης κοινωνικής μηχανικής. Οι phishers στέλνουν αυτόκλητα μηνύματα ηλεκτρονικού ταχυδρομείου που μοιάζουν με νόμιμα αιτήματα για πληρωμή ή πληροφορίες. Η ίδια τεχνική μπορεί να εκτελεστεί μέσω τηλεφώνου (“Vishing”) ή γραπτού μηνύματος (“SMishing”). Οι phishers συχνά υποδύονται πραγματικές εταιρείες χρησιμοποιώντας πραγματικά λογότυπα και παρόμοιες (“πλαστογραφημένες”) διευθύνσεις email. Τα email τους συνήθως περιλαμβάνουν μια παρότρυνση για δράση.

Οι στατιστικές δείχνουν ότι τα ποσοστά phishing έχουν μειωθεί τα τελευταία χρόνια. Τα ποσοστά spear phishing, ωστόσο, αυξάνονται. Σε αντίθεση με το ευρύ δίχτυ που ρίχνουν οι phishers, τα spear phishers στοχεύουν συγκεκριμένα άτομα εντός ενός οργανισμού, ιδιαίτερα εκείνα που έχουν πρόσβαση σε οικονομικά ή ευαίσθητες πληροφορίες.

Για παράδειγμα, ψαράδες που υποδύονταν τον Διευθύνοντα Σύμβουλο μιας αυστριακής αεροδιαστημικής εταιρείας χρησιμοποίησαν μια επίθεση Business Email Compromise για να πείσουν έναν υπάλληλο να μεταφέρει σχεδόν 50 εκατομμύρια δολάρια σε έναν λογαριασμό για ένα ψεύτικο έργο εξαγοράς. (Το spear phishing είναι επίσης γνωστό ως whaling ή CEO fraud.) Τα email phishing με δόρυ χρησιμοποιήθηκαν επίσης για τη λήψη του κωδικού πρόσβασης σε έναν λογαριασμό Gmail που χρησιμοποιούσε ο πρόεδρος της εκστρατείας της Χίλαρι Κλίντον.

Παρά τις πολλές μορφές της, η απάτη κοινωνικής μηχανικής ενσωματώνει γενικά τα ακόλουθα διακριτικά στοιχεία:

  • Προσδιορισμός στόχων. Οι εγκληματίες συχνά χρησιμοποιούν πληροφορίες ανοιχτού κώδικα, μέσα κοινωνικής δικτύωσης και εταιρικούς ιστότοπους για να προβάλλουν πιθανούς στόχους, να αναπτύξουν μια ακριβή εικόνα του οργανισμού και να εντοπίσουν βασικά στελέχη και οικονομικά μέλη της ομάδας.
  • Σχέσεις καλλωπισμού. Η επαφή γίνεται με στοχευμένα άτομα χρησιμοποιώντας email που ενσωματώνουν δημόσια διαθέσιμες πληροφορίες και προφίλ μέσων κοινωνικής δικτύωσης, έτσι ώστε να είναι πιο πιθανό να διαβαστούν και να θεωρηθούν αυθεντικά. Αυτή η διαδικασία μπορεί να διαρκέσει μέρες, εβδομάδες ή μήνες.
  • Εκμετάλλευση τρωτών σημείων. Μόλις οι στόχοι πεισθούν ότι έχουν συναλλαγές με ένα εξουσιοδοτημένο άτομο σχετικά με μια νόμιμη επιχειρηματική συναλλαγή, τους ζητείται να εκτελέσουν μια συνήθη ή άλλως νόμιμη λειτουργία. Για παράδειγμα, μπορεί να τους δοθούν οδηγίες καλωδίωσης ή τυπικά αιτήματα για έγγραφα ή πληροφορίες.
  • Εκτέλεση της Απάτης. Τα άθελά τους ενσύρματα κεφάλαια μεταφέρονται αμέσως σε άλλο λογαριασμό. Ευαίσθητες πληροφορίες που αποκαλύφθηκαν χρησιμοποιούνται αμέσως για τη διάπραξη πρόσθετων εγκλημάτων, συνήθως κλοπής ταυτότητας.

Η απάτη κοινωνικής μηχανικής αποτελεί σοβαρό κίνδυνο για κάθε επιχείρηση, ιδιαίτερα για τις μικρομεσαίες επιχειρήσεις, οι οποίες στοχοποιούνται περισσότερο. Σύμφωνα με το Ομοσπονδιακό Γραφείο Ερευνών, οι απάτες phishing συνεχίζουν να αυξάνονται, να εξελίσσονται και να στοχεύουν επιχειρήσεις κάθε μεγέθους. Από τον Ιανουάριο του 2015, σημειώθηκε αύξηση 1.300 τοις εκατό στις εντοπισμένες ζημίες, συνολικού ύψους άνω των 3 δισεκατομμυρίων δολαρίων.

Πολλές επιχειρήσεις πιστεύουν λανθασμένα ότι οι ζημίες που αποδίδονται σε απάτη κοινωνικής μηχανικής θα καλύπτονται από τα τυπικά ασφαλιστήρια συμβόλαια επιχειρήσεων. Δυστυχώς, αυτό το σφάλμα πολλές φορές δεν αποκαλύπτεται μέχρι να είναι πολύ αργά. Τα τυπικά ασφαλιστήρια συμβόλαια επιχειρήσεων έχουν μια σειρά από κενά κάλυψης όταν πρόκειται για ζημίες αυτού του είδους.

Τα τυπικά εμπορικά συμβόλαια γενικής ευθύνης και ασφάλισης περιουσίας δεν έχουν σχεδιαστεί για να προστατεύουν από απάτη κοινωνικής μηχανικής, επομένως η έλλειψη κάλυψης θα πρέπει να είναι κάπως αναμενόμενη. Αυτό που συνήθως δεν αναμένεται, ωστόσο, είναι τα κενά κάλυψης στις πολιτικές που κατά τα άλλα φαίνονται κατάλληλα για την προστασία από αυτές τις απώλειες.

Για παράδειγμα, παρόλο που η Απάτη Κοινωνικής Μηχανικής λαμβάνει χώρα συνήθως στο διαδίκτυο, δεν περιλαμβάνει απαραιτήτως παραβίαση ή παραβίαση συστημάτων υπολογιστών. Έτσι, ανάλογα με τις περιστάσεις, η κάλυψη μπορεί να απορριφθεί βάσει ενός τυπικού ασφαλιστηρίου αστικής ευθύνης στον κυβερνοχώρο. Και, δεδομένου ότι τα θύματα τελικά στέλνουν χρήματα εν γνώσει τους και οικειοθελώς, η κάλυψη μπορεί επίσης να απορριφθεί βάσει μιας τυπικής πολιτικής εγκλήματος ή πιστότητας.

Διατίθενται εγκρίσεις απάτης κοινωνικής μηχανικής για την κάλυψη αυτών των κενών κάλυψης. Έχουν σχεδιαστεί ειδικά για να καλύπτουν τους μοναδικούς κινδύνους που παρουσιάζονται από την Απάτη Κοινωνικής Μηχανικής, όπως:

  • πλαστοπροσωπία πωλητή ή προμηθευτή.
  • εκτελεστική πλαστοπροσωπία· και
  • πλαστοπροσωπία πελάτη.

Οι απώλειες λόγω απάτης στην κοινωνική μηχανική μπορεί να είναι καταστροφικές. Κάθε επιχείρηση πρέπει να αναθεωρήσει τα ασφαλιστήρια συμβόλαιά της για να εντοπίσει και να αντιμετωπίσει τυχόν υπαρκτά ή πιθανά κενά κάλυψης. Δυστυχώς, όταν πρόκειται για Απάτη Κοινωνικής Μηχανικής, η εφαρμογή διασφαλίσεων, η διατήρηση της ευαισθητοποίησης και η εκπαίδευση των εργαζομένων δεν είναι πάντα αρκετή.

Η Setnor Byer Insurance & Risk είναι μια ανεξάρτητη υπηρεσία πλήρους υπηρεσίας με περισσότερα από 30 χρόνια που παρέχει προσεγμένες υπηρεσίες και υπηρεσίες θυρωρού για την κάλυψη των αναγκών των επιχειρήσεων και των ατόμων σε όλες τις Η.Π.Α. βελτιώστε την εμπειρία του πελάτη.

Leave a Reply

Your email address will not be published.