7 шагов, чтобы минимизировать мошенничество с генеральным директором и подделку личных данных

Сначала запрос на добавление в друзья в Facebook выглядел совершенно нормально, но потом я понял, что этот друг, которого я знал со средней школы, уже был связан со мной в Facebook. Поэтому я посмотрел на профиль более внимательно, и было ясно, что это подражание. Поэтому я написала своему другу, чтобы спросить, отправила ли она новый запрос, и она ответила, что нет, добавив, что кто-то недавно пытался использовать ее кредитную карту для покупки некоторых товаров у Amazon. К счастью, она заменила эту конкретную карту, так что деньги не пропали, но, очевидно, ее преследовал вор. Я предложил ей позвонить в полицию, чтобы сообщить об этом.

То, что происходило с моим другом, является довольно типичным набором событий, которые происходят на ранних стадиях кражи личных данных. Хотя это усилие было сорвано, большинство людей не узнали бы так быстро. Вместо этого, изучая финансы жертвы и подтверждая их личность в социальных сетях, они надеются собрать достаточно личной информации, чтобы иметь возможность выдать себя за них в деловой обстановке, где общение происходит по электронной почте.

Процесс работает, когда преступник проходит через организацию, постепенно продвигаясь вверх по линии, пока человек не сможет появиться в качестве старшего сотрудника. Зачастую конечная цель - украсть личность генерального директора. Затем преступник использует личную электронную почту, чтобы открыть связь с сотрудниками, которые имеют доступ к важной корпоративной информации, такой как финансы и интеллектуальная собственность (ИС). Чтобы казаться законным, он может делать ссылки на конкретные предстоящие рабочие события, недавнюю встречу или похожее событие, которое посещал целевой объект, который похититель личных данных извлек из социальных сетей.

Как только сотрудник убедится, что преступник является тем, кем он притворяется, запросы начинаются. Обычно они сначала маленькие, например, заказывают вещи для офиса. Но потом они становятся больше и требовательнее. В конце концов, преступник требует значительных сумм денег или, возможно, чтобы определенные IP, такие как чертежи или спецификации, были отправлены на сторонний адрес.

Попытки мошенничества генерального директора находятся на подъеме

Эти схемы могут показаться надуманными, но они являются основой для «мошенничества генеральных директоров», которое происходит с удручающей регулярностью. Ребята из компании по обучению безопасности KnowBe4 рассказывают об одной из таких аферах, когда сотрудник отправлялся по городу в поисках 20 подарочных карт Apple iTunes, каждая из которых стоит 100 долларов, якобы для отправки клиентам.

Но примеры становятся хуже, и в некоторых случаях сотни тысяч долларов были переведены на оффшорные банковские счета после того, как преступник, притворяющийся генеральным директором компании, сделал такой запрос в особенно доверчивую бухгалтерию. Хотя этот процесс работает, как любое количество мошеннических операций с доверием, ИТ-отдел может предпринять шаги, чтобы свести к минимуму вероятность того, что это произойдет с вашей организацией.

7 шагов для минимизации мошенничества со стороны генерального директора

Эти шаги включают в себя информирование ваших сотрудников о том, что эти попытки возможны, описание форм, которые они примут, и информирование их о том, что сотрудники службы безопасности компании готовы помочь. Также хорошей идеей будет создать набор правил, которым должны следовать сотрудники в отношении ответов и отчетности. Вот несколько предложений для руководителей и других высших руководителей:

Разошлите по электронной почте всем сотрудникам, чтобы они знали, что сотрудники становятся жертвами плохих парней, которые хотят проникнуть в организацию. Скажите им, что они должны знать о попытках кражи личных данных, в том числе о мошенниках, появляющихся в социальных сетях.

Попросите сотрудников сообщить сотрудникам службы безопасности, когда они подозревают, что к ним приближаются похитители личных данных; это включает попытки украсть номера кредитных карт. Даже если попытка является случайным скиммером, ваши сотрудники оценят, что вы готовы помочь.

Следите за моделями. Если вы начинаете видеть увеличение попыток кражи личных данных в отношении ваших сотрудников, то это «знак того, что вы можете стать настоящей целью». Предупредите своих сотрудников.

Установите некоторые конкретные вещи, которые вы никогда не попросите своих сотрудников делать. Это может включать в себя покупку подарочных карт, обращение к ним с просьбой предпринять какие-либо официальные действия на основании электронного письма, отправленного через личный аккаунт, или обращение с просьбой отправить средства или IP-адреса третьим лицам по электронной почте на основании запроса, отправленного по электронной почте.,

Защитите личную контактную информацию, в том числе физический адрес, личный адрес электронной почты и персональные номера телефонов ваших сотрудников, чтобы ворам было труднее нацеливаться на них.

Периодически проверяйте учетные записи ваших сотрудников в социальных сетях на предмет признаков того, что кто-то имитирует их. Это будет выглядеть как вторая учетная запись с их именем и, как правило, с их фотографией. Хотя у сотрудника может быть две учетные записи по какой-либо причине, например одна для личного пользования и одна для служебного пользования, вам следует спросить их.

Как только вы сделали правила, придерживайтесь их сами. Если вам действительно нужно 100 карт iTunes, закажите их у Apple, используя соответствующие правила, предоставленные отделом закупок вашей организации.

• Лучшие решения для управления идентификацией на 2019 год Лучшие решения для управления идентификацией на 2019 год
• Вам действительно нужно платить за услугу защиты от кражи личных данных? Вам действительно нужно платить за услугу защиты от кражи личных данных?
• Чтобы остановить фишинг, Google дал ключи безопасности всем сотрудникам Чтобы остановить фишинг, Google дал ключи безопасности всем сотрудникам

Будь то кража личных данных или просто подмена личных данных, эти действия часто являются первыми этапами фишинг-атаки, поскольку злоумышленникам требуется достаточно информации, чтобы их сообщения выглядели достоверными. Фишинговые атаки являются единственным наиболее успешным методом защиты от взлома данных, поскольку они перекрываются простой небрежностью пользователя. Прекращение атак до того, как они произойдут, означает, что вы можете спасти свою организацию от значительных затрат, связанных с утечкой данных.

И не думайте, что это не случится с вашей компанией, потому что она слишком мала. Независимо от размера, большинство организаций имеют минимальные ценности, которые ищут такие преступники: деньги и доступ к другим компаниям.