Da li ste nedavno primili mejl od vašeg „generalnog direktora“ sa zahtevom da prebacite novac „dobavljaču“? Ne činite to! To je prevara koja koristi identitet generalnog direktora, i objasniću vam detaljnije o čemu se radi.
Započnimo sa kratkom pozadinskom pričom.
Prevara generalnog direktora dogodila mi se otprilike dva meseca nakon što sam počeo da radim za vdzvdz kao stalni pisac.
Nije odmah bilo očigledno da je reč o prevari, jer je prevarant koristio legitiman domen kompanije Virgin Media ([email protected]), a ja sam pomislio da je moj generalni direktor na neki način povezan s tom telekomunikacijskom kompanijom, budući da se obe nalaze u Ujedinjenom Kraljevstvu.
Dakle, odgovorio sam pozitivno na početno pitanje „Želeo bih da ti dodelim zadatak, da li si slobodan?“. Potom je pošiljalac detaljno opisao zadatak koji je uključivao transfer od 24.610 INR (što je oko 300 USD) dobavljaču, čije bi detalje podelio nakon mog pristanka.
Međutim, to me je učinilo sumnjičavim i zamolio sam pošiljaoca da dokaže svoj identitet pre nego što izvršim bilo kakav transfer. Nekoliko mejlova kasnije, prevarant je odustao, a ja sam prosledio prepisku svom pravom generalnom direktoru i IT timu Virgin Media.
Iako nisam imao nikakvu prethodnu obuku za suočavanje sa ovom vrstom prevare, imao sam sreće da ne nasednem na ovu zamku.
Ali ne treba se oslanjati samo na sreću; umesto toga, budite informisani i edukujte druge.
Prevara izvršnog direktora, poznata i kao izvršni fišing
Ovo spada u kategoriju ciljanog fišinga, napada usmerenog na određenu organizaciju ili neke od njenih zaposlenih. Naziva se i „kit fišing“ ako je meta zaposleni na visokoj poziciji (kao što je rukovodstvo) u nekoj instituciji.
Federalni istražni biro, SAD, ove prevare označava kao Kompromitovanje poslovne e-pošte (BEC) ili Kompromitovanje naloga e-pošte (EAC), koji su 2021. godine prouzrokovali gubitak od skoro 2,4 milijarde dolara, prema Izveštaju o internet kriminalu.
Geografski gledano, Nigerija je vodeća zemlja sa 46% prevara generalnih direktora, a slede je SAD (27%) i Velika Britanija (15%).
Kako ovo funkcioniše?
Za prevaru generalnog direktora nisu potrebne nikakve tehničke veštine ili kriminalističko znanje. Sve što dobijate je nasumični mejl i vešto korišćenje socijalnog inženjeringa da biste vas prevarili da pošaljete sredstva ili otkrijete osetljive informacije koje bi se dalje koristile za nezakonite aktivnosti.
Pogledajmo nekoliko načina na koje prevaranti „operišu“ u praksi.
Tip 1
Najjednostavniji oblik prevare je nasumični mejl koji se predstavlja kao da ga šalje izvršni direktor sa zahtevom za novac. Ovakav pokušaj se lako otkriva. Sve što treba da uradite je da proverite adresu e-pošte (a ne ime pošiljaoca).
Uglavnom, sam domen imejl adrese ([email protected]) razotkriva prevaru. Međutim, adresa e-pošte može da ukazuje na uglednu organizaciju (kao što je bio moj slučaj).
Ovo daje privid legitimnosti prevari, što može biti kobno za neoprezne. Osim toga, adresa e-pošte može izgledati kao prava, ali sa manjim suptilnim izmenama, npr. @gmiаl.com umesto @gmail.com.
Na kraju, mejl može biti poslat sa legitimne, ali hakovane adrese, što otežava otkrivanje prevare.
Tip 2
Složenija tehnika uključuje upotrebu video poziva. U ovom slučaju se koristi „lažna“ adresa e-pošte visokog zvaničnika koji svojim zaposlenima, naročito u finansijskom sektoru, šalje „hitne“ zahteve za onlajn sastanke.
Zatim, učesnici vide sliku bez zvuka (ili sa duboko lažiranim zvukom) uz objašnjenje da veza ne funkcioniše kako treba.
Nakon toga, „poslovni rukovodilac“ traži da se izvrši bankarski transfer na nepoznate račune, odakle se novac preusmerava drugim kanalima (kriptovalute) nakon uspešne prevare.
Tip 3
Ova varijanta je slična tipu 1, ali je usmerena na poslovne partnere umesto na zaposlene, i stoga se naziva „prevara na fakturi“, što bolje opisuje njen način delovanja.
U ovom slučaju, klijent organizacije dobija mejl sa zahtevom da hitno uplati fakturu na određene bankarske račune.
Izvor: CBC News
Ovaj tip prevare ima visoku stopu uspeha, jer se obično sprovodi koristeći hakovanu adresu e-pošte kompanije. Budući da se mejl često koristi kao glavni način komunikacije među profesionalcima, ovo može da dovede do ogromnih finansijskih i reputacijskih gubitaka za ciljanu organizaciju.
Kako proveriti da li se radi o prevari generalnog direktora?
Kao zaposlenom, teško je odbiti zahtev svog generalnog direktora. Ova psihološka činjenica je glavni razlog zašto prevaranti lako uspevaju samo slanjem nasumičnog mejla.
Pored pažljivog razmatranja finansijskih zahteva, preporučljivo je tražiti video sastanak pre bilo kakve „saradnje“.
Takođe, u većini slučajeva je dovoljno samo pažljivo proveriti adresu e-pošte. Ona možda ne pripada vašoj organizaciji ili sadrži pogrešno napisanu verziju naziva kompanije.
Pored toga, institucija ne može da registruje sve ekstenzije domena. Zato treba biti oprezan ako dobijete mejl od [email protected] umesto od zvanične adrese [email protected]
Na kraju, možete dobijati mejlove sa adrese kompanije kojom upravljaju „spoljašnji“ lica, ili sa lažne interne adrese. Ključno u takvim situacijama je usmena potvrda ili konsultacija sa više rukovodilaca pre nego što izvršite bilo kakva plaćanja.
Najefikasniji način da zaštitite svoju organizaciju, ako je vodite, jeste da uvedete simulacije fišinga u redovnu obuku zaposlenih. Prevaranti neprestano razvijaju svoje metode, tako da jednokratno upozorenje neće mnogo pomoći vašim zaposlenima.
Zaključak!
Nažalost, u velikoj meri zavisimo od poslovnih mejlova, što ostavlja prostor za zloupotrebe od strane kriminalaca.
Iako još uvek ne postoji zamena za ovaj oblik komunikacije, možemo dodati poslovne partnere u aplikacije kao što su Slack ili WhatsApp. Ovo će pomoći da se brzo potvrdi da li nešto deluje sumnjivo i da se izbegnu moguće komplikacije.
P.S: Da sam na vašem mestu, ne bih propustio ovaj članak o vrstama sajber kriminala kako bih dodatno unapredio svoju internet pismenost.