Email từ Giám đốc điều hành của bạn?: Giải thích về gian lận lừa đảo trên cá voi
Gần đây, bạn có nhận được email từ ‘CEO’ của mình yêu cầu chuyển tiền cho ‘nhà cung cấp’ không? Đừng làm thế! Đó là một vụ lừa đảo của CEO, tôi sẽ giải thích chi tiết.
Hãy bắt đầu điều này với một câu chuyện cơ bản nhỏ.
Gian lận CEO đã xảy ra với tôi gần hai tháng sau khi tôi tham gia techpoe.com với tư cách là một nhà văn toàn thời gian.
Nó không rõ ràng ngay lập tức, vì kẻ lừa đảo đang sử dụng một tên miền có uy tín Virgin Media ([email protected]), và tôi nghĩ CEO của tôi bằng cách nào đó có liên hệ với công ty viễn thông này vì cả hai đều ở Vương quốc Anh.
Vì vậy, tôi đã trả lời câu đầu tiên ‘Tôi muốn giao cho bạn một nhiệm vụ, bạn có rảnh không?’ tích cực. Tiếp theo, người gửi nêu chi tiết một nhiệm vụ bao gồm chuyển khoản 24.610 INR (~$300) cho một nhà cung cấp, các chi tiết sẽ được chia sẻ nếu tôi đồng ý.
Nhưng điều này khiến tôi hơi nghi ngờ và tôi đã yêu cầu người gửi chứng minh danh tính của họ trước khi tôi có thể chuyển bất cứ thứ gì. Một vài email sau đó, kẻ lừa đảo đã ngừng hoạt động và tôi đã gửi cuộc trò chuyện đến Giám đốc điều hành thực sự của mình và bộ phận CNTT của Virgin Media.
Mặc dù tôi không được đào tạo trước để xử lý loại gian lận này, nhưng tôi đã may mắn không rơi vào cái bẫy này.
Nhưng chúng ta không nên hoàn toàn dựa vào may mắn; thay vào đó, hãy biết trước điều này và giáo dục những người khác.
Lừa đảo CEO, hay còn gọi là Lừa đảo điều hành
Điều này xảy ra dưới hình thức lừa đảo trực tuyến, một cuộc tấn công nhắm vào một tổ chức cụ thể hoặc một số nhân viên của tổ chức đó. Nó sẽ được gọi là một cuộc tấn công lừa đảo săn cá voi nếu mục tiêu là một nhân viên cấp cao (như c-suite) của bất kỳ tổ chức nào.
Cục Điều tra Liên bang, Hoa Kỳ, gắn thẻ những trò lừa đảo này dưới tên Thỏa hiệp email doanh nghiệp (BEC) hoặc Thỏa hiệp tài khoản email (EAC), gây thiệt hại gần 2,4 tỷ USD vào năm 2021, theo Báo cáo tội phạm Internet này.
Về mặt địa lý, Nigeria là quốc gia đứng đầu với 46% các vụ lừa đảo của CEO, tiếp theo là Mỹ (27%) và Vương quốc Anh (15%).
Cái này hoạt động ra sao?
Đáng chú ý, gian lận CEO không cần bất kỳ kỹ năng kỹ thuật hoặc bí quyết hình sự nào. Tất cả những gì bạn sẽ nhận được là một email ngẫu nhiên và kỹ thuật xã hội để lừa bạn gửi tiền hoặc tiết lộ các chi tiết nhạy cảm để tiếp tục hành động bất hợp pháp.
Hãy xem một số cách mà những kẻ xấu làm điều này ‘hiện tại’.
Loại 1
Một địa chỉ email ngẫu nhiên mạo danh Giám đốc điều hành để yêu cầu một số tiền là hình thức thủ đoạn đơn giản nhất như vậy. Và cái này rất dễ nhận ra. Tất cả những gì bạn phải tìm là địa chỉ email (chứ không phải tên).
Nói chung, tên miền ([email protected]) cho đi gian lận. Tuy nhiên, địa chỉ email có thể chỉ ra một tổ chức nổi tiếng (như trong trường hợp của tôi).
Những giải thưởng này đã thêm tính hợp pháp cho trò lừa đảo, có thể trở thành nạn nhân của một chuyên gia không hiểu biết. Ngoài ra, địa chỉ email có thể trông giống thật nhưng có những thay đổi nhỏ khó nhận thấy, chẳng hạn như @gmial.com thay cho @gmail.com.
Cuối cùng, nó có thể đến từ một địa chỉ email hợp pháp nhưng đã bị xâm phạm, khiến việc phát hiện hành vi lừa đảo trở nên vô cùng khó khăn.
loại 2
Một kỹ thuật tinh vi hơn khác sử dụng cuộc gọi video. Điều này bao gồm một địa chỉ email ‘được quản lý’ của một quan chức cấp cao nhất gửi các yêu cầu họp trực tuyến ‘khẩn cấp’ tới các nhân viên của mình, chủ yếu ở bộ phận tài chính.
Tiếp theo, những người tham gia nhìn thấy một hình ảnh không có âm thanh (hoặc có âm thanh giả sâu) với tuyên bố rằng kết nối không hoạt động như mong đợi.
Sau đó, ‘giám đốc điều hành doanh nghiệp’ yêu cầu bắt đầu chuyển khoản ngân hàng đến các tài khoản ngân hàng không xác định, từ đó tiền sẽ được chuyển qua các kênh khác (đọc là tiền điện tử) sau khi lừa đảo thành công.
loại 3
Loại này là một biến thể của Loại 1 nhưng nhắm mục tiêu đến các đối tác kinh doanh chứ không phải nhân viên, có tên gọi là lừa đảo hóa đơn, phù hợp hơn với phương thức hoạt động của nó.
Trong trường hợp này, khách hàng của một tổ chức nhận được email yêu cầu thanh toán hóa đơn cho các tài khoản ngân hàng cụ thể một cách khẩn cấp.
Nguồn: Tin tức CBC
Cái này có tỷ lệ thành công cao nhất vì nó thường được thực hiện bằng cách sử dụng địa chỉ email của công ty bị tấn công. Và vì email là cách, đôi khi dành riêng cho các chuyên gia giao tiếp, nên nó dẫn đến tổn thất lớn về tài chính và danh tiếng cho tổ chức mục tiêu.
Làm thế nào để kiểm tra gian lận của CEO?
Là một nhân viên, thật khó để từ chối yêu cầu từ CEO của chính bạn. Tâm lý này là nguyên nhân chính khiến thủ phạm dễ dàng thành công chỉ với một email ngẫu nhiên.
Ngoài việc đặt câu hỏi về các yêu cầu tài chính, tốt nhất bạn nên yêu cầu một cuộc họp video trước khi ‘hợp tác’.
Hơn nữa, trong hầu hết các trường hợp, bạn chỉ cần kiểm tra kỹ địa chỉ email. Điều này có thể không thuộc về tổ chức của bạn hoặc có thể có các phiên bản sai chính tả của tên công ty.
Bên cạnh đó, một tổ chức không thể đăng ký tất cả các phần mở rộng tên miền. Vì vậy, bạn cần cẩn thận khi nhận được email từ [email protected] khi địa chỉ chính thức nên được [email protected]
Cuối cùng, bạn có thể nhận được email từ một địa chỉ công ty được điều hành từ ‘bên ngoài’ hoặc một thành viên nội bộ lừa đảo. Chìa khóa cho tình huống như vậy là xác nhận bằng lời nói hoặc thông báo cho nhiều giám đốc điều hành trước khi thực hiện bất kỳ khoản thanh toán nào.
Và cách hiệu quả nhất để bảo vệ tổ chức của bạn, nếu bạn lãnh đạo một tổ chức, là kết hợp mô phỏng lừa đảo trong quá trình đào tạo nhân viên định kỳ. Bởi vì những kẻ lừa đảo liên tục phát triển. Vì vậy, đưa ra một cảnh báo duy nhất, một lần sẽ không giúp ích nhiều cho nhân viên của bạn.
Kết thúc!
Thật không may, chúng tôi phụ thuộc rất nhiều vào email doanh nghiệp, để lại những lỗ hổng lớn mà bọn tội phạm thường khai thác.
Mặc dù chưa có phương thức thay thế cho hình thức liên lạc này, nhưng chúng tôi có thể thêm đối tác kinh doanh trên các ứng dụng như Slack hoặc thậm chí là WhatsApp. Điều này sẽ giúp nhanh chóng xác nhận xem có điều gì đáng ngờ hay không và tránh những thất bại như vậy.
Tái bút: Nếu tôi là bạn, tôi sẽ không bỏ lỡ bài viết này đề cập đến các loại tội phạm mạng để nâng cao hiểu biết về internet.
