Herkes patronunun önünde iyi görünmek ister bu her insanın doğasında vardır. Bu nedenle, şirketinizin CEO’sundan gelen acil bir e-postanın dikkatinizi çekmesi garantilidir. Ayrıca, ayrıntıları sorgulamadan istek üzerine hemen harekete geçme olasılığınız daha yüksektir. Böylece kendinizi bir anda CEO sahtekarlığı içerisinde bulursunuz.
Peki ya bu e-posta patronunuzdan gelmediyse?
Tek gereken, bir çalışanı patronu veya yöneticisi adına hareket etmeye teşvik eden bilgili bir e-postadır. Bu e-posta, örneğin, çalışanın yeni bir üçüncü taraf satıcıya ödeme yaparak hem patrona hem de şirkete nasıl yardım edeceğini vurgular.
Veya e-postada kolayca verilen farklı bir hesap numarasına para aktarın.
Veya çalışanlara sürpriz olarak çok sayıda hediye kartı satın almak.
E-posta genellikle saat 16:30 civarında, çalışan gününü bitirirken gelir. Bu şekilde, CEO’yu aramaları veya tekrar kontrol etmeleri daha az olasıdır. Çalışan ayrıca hızlı hareket ederek şirketlerine ve patronlarına yardım etme konusunda iyi hissedecektir.
CEO sahtekarlığı yaygın çünkü başarılması ucuz: LinkedIn veya şirket web sitesinde 20 dakikalık araştırma ve birkaç e-posta yeterli. Aynı zamanda çok yüksek bir başarı düzeyine sahiptir, çünkü memnun etme insani arzumuza dayanır.
FBI’a göre, bu tür siber suçlar artıyor. Siber suçlular, CEO dolandırıcılıklarıyla belirli çalışanları hedef almak için ustaca sosyal mühendislik ve araştırma teknikleri geliştirdiler .
Bu tür dolandırıcılığın kuruluşunuza zarar vermesini önlemenin en iyi yolu, çalışanlara CEO sahtekarlığı gibi siber saldırıların nasıl gerçekleştiğini öğretmeyi vurgulayan güvenlik bilinci eğitimidir .
Çalışanlar ne kadar fazla bilgiye ve gerçek dünya bağlamına sahip olursa, e-postaları, kısa mesajları ve gizli bilgileri çalmak için kullanılan diğer sosyal mühendislik taktiklerini belirlemek o kadar kolay olur.
CEO Dolandırıcılığı nedir?
CEO dolandırıcılığı, siber suçluların çalışanları para transfer etmeleri veya onlara gizli şirket bilgilerini sağlamaları için kandırmak için kullandıkları karmaşık bir e-posta dolandırıcılığıdır.
CEO dolandırıcılığı, e-posta alıcısının güvenini kazanmaya dayanan bir sosyal mühendislik tekniğidir. Bunun arkasındaki siber suçlular, çoğu insanın e-posta adreslerine çok dikkatli bakmadığını veya küçük yazım hatalarını fark etmediğini biliyor.
Siber suçlular, şirket CEO’sunu veya diğer şirket yöneticilerini taklit etmek için e-posta kullanır ve çalışanlardan, genellikle İK veya muhasebe alanında, banka havalesi göndererek, hesap bilgilerini güncelleyerek veya hesap ayrıntılarını sağlayarak onlara yardım etmelerini ister.
Giderek artan bir şekilde, hediye kartı dolandırıcılığı CEO dolandırıcılığıyla ilişkilendiriliyor çünkü alıcıya gönderildikten sonra takip edilmeleri esasen imkansız. Bu dolandırıcılıklar ayrıca CEO’ya özgü olmayabilir. Dolandırıcılar, bir İK yöneticisi gibi daha düşük seviyedeki birini taklit edebilir, böylece çalışanın şüphesi daha da azalır.
CEO Dolandırıcılığı Hakkında Gerçekler
FBI ve İnternet Suçları Şikayet Merkezi (IC3) 10 Eylül 2019’da CEO dolandırıcılığının 26 milyar dolarlık bir dolandırıcılık olduğunu bildirdi . Haziran 2016 ile Temmuz 2019 arasında, FBI 166.000’den fazla yerel ve uluslararası CEO dolandırıcılığı veya İş E-posta Uzlaşması (BEC) saldırıları rapor etti .
Aynı gün, Adalet Bakanlığı, Operasyon reWired adlı uluslararası bir siber dolandırıcılık operasyonunda 281 kişinin tutuklandığını ve 3,7 milyon dolara el konduğunu açıkladı.
IRS Şefi Don Fort, “Bu karmaşık, ülke çapında kimlik hırsızlığı ve vergi sahtekarlığı planını çözerken, komplocuların 250.000’den fazla kimlik çaldığını ve 10.000’den fazla sahte vergi beyannamesi doldurarak 91 milyon dolardan fazla geri ödeme almaya çalıştıklarını keşfettik” dedi. Suç Soruşturması.” ( Adalet Bakanlığı basın açıklaması )
Ünlü bir CEO dolandırıcılığı vakası, 2019’da Kanada’da, Ottawa Şehri Saymanının, şehir yöneticisinden gelen sahte bir e-postanın ardından bir dolandırıcının hesabına 100.000 doların üzerinde havale yapmasıyla haberi yaptı.
Sadece bir hafta sonra, bu sefer 150.000 $ karşılığında ikinci bir sahte e-posta aldı. Neyse ki, e-posta şehir müdürüyle bir toplantı sırasında geldi ve transferi şahsen doğruladı. İşte o zaman hatasını anladı ve yetkililere haber verdi.
Bu tür dolandırıcılıkta kullanılan sosyal mühendislik teknikleri ve diğer hileler sürekli olarak gelişmektedir. Siber suçlular, çeşitli şirketleri ve bireyleri hedef alan geniş bir ağ oluşturur:
- Düzenli olarak yabancı tedarikçiler ve şirketlerle çalışan çalışanlar.
- Düzenli olarak banka havalesi ve elektronik para transferi gönderen işletmeler.
- İnsan kaynakları ve bordro departmanları.
- Yaşlılar ve son zamanlarda gayrimenkul satın almış kişiler.
- İşletmenizin büyüklüğü, faaliyet gösterdiğiniz yer veya kaç çalışanınız olduğu, CEO sahtekarlığı risk seviyeniz üzerinde sıfır etkiye sahiptir.
FBI, basın açıklamasında, şirketlerin CEO dolandırıcılıklarından korunmanın en iyi yolunun , çalışanları siber suçların kurbanı olmanın ne kadar kolay olduğunu gösteren önleyici eğitimlerle eğitmek olduğunu vurguladı .
Bu Sorularla CEO Sahtekarlığı Önlenebilir
Doğru türde güvenlik bilinci eğitimi, çalışanlarınızın CEO sahtekarlığı gibi siber tehditlere karşı proaktif olmalarını sağlar. Kimlik avı simülasyonlarının , çalışanlara CEO dolandırıcılığı gibi siber saldırıların nasıl gerçekleştiğine dair gerçek bir uygulamalı bilgi ve anlayış sağladığı kanıtlanmıştır.
Çalışanlar, CEO sahtekarlığını önlemek için şu soruları sormanın ne kadar önemli olduğunu öğrenir:
- CEO’m benden hiç yeni bir hesaba para aktarmamı istedi mi?
- Bu tür bir talebi ele almak için doğru kişi miyim? CFO veya İK Başkan Yardımcısı’nın bunu yapması gerekmez mi?
- CEO bunu neden kendisi yapamıyor? Ağımızda CEO’muzun erişmesini engelleyen bir sorun mu var?
- Bu tür bir istek standart mı? Bunu daha önce yaptım mı?
- E-postada belirtilen satıcı, banka veya ortaktan biriyle iletişime geçebilir miyim?
- Bu, çalışan bilgilerinin paylaşılmasına ilişkin şirket politikamızı ihlal etmiyor mu?
- E-posta adresi doğru mu? Yanıtla’yı tıkladığımda – bunun gerçek bir şirket e-posta adresi olduğunu doğrulamam gerekiyor.
- E-posta imzasında bir telefon numarası var mı? Öyleyse, onu arayın ve isteği gönderenle iki kez kontrol edin.
Siber suçlular, e-posta kurbanını yanıt vermeye ikna etmek için genellikle güçlü bir dil kullanır. Bu eylemi gerçekleştirmek için zaman çizelgesi de kısa ve görev acil olacaktır. Ve bazı durumlarda, siber suçlular, talebin ne zaman tamamlanacağını soran çok sayıda e-posta gönderecek ve bu eylemin önemini vurgulayacaktır.
Çalışanlar bir kimlik avı saldırısının açık belirtilerini bildiklerinde, durumu değerlendirmek için zaman ayırabilir ve hemen yanıt vermeden veya harekete geçmeden önce iki kez düşünebilirler.
Kuruluşunuzu CEO Sahtekarlığı Yaşanmasından Nasıl Korursunuz?
Kuruluşunuzu CEO sahtekarlığından korumak için, katılım sağlayan, eğiten ve güçlendiren, yıl boyunca devam eden bir siber güvenlik farkındalık eğitimine ve iletişim programına sahip olmanız gerekir.
Yılın zamanının farkında olun. Tatiller ve önceki mali yıl sonu ayları, bu tür dolandırıcılık için en uygun zamandır. Siber suçlular, insanların seyahat ettiğini, en son çevrimiçi anlaşmayı elde etmeye çalıştığını veya vergi belgelerini tamamlama konusunda stresli olduğunu bilir – bu, insan doğasından yararlanmak isteyen suçlular için ideal senaryodur.
Kuruluşunuzu CEO sahtekarlığından korumak için şu adımları bir öncelik haline getirin:
1. Eğitim
Çalışanlarınıza, onları CEO sahtekarlığının riskleri konusunda eğiten gerçek dünya siber güvenlik farkındalığı eğitimi verin. Çalışanları CEO sahtekarlığının nasıl gerçekleştiği konusunda eğitmek için kimlik avı simülasyonları, oyunlaştırma, mikro öğrenme modülleri ve haber bültenleri ve posterler gibi dahili iletişimleri kullanın.
2. Farkındalık
Çoğu çalışan bir siber saldırı riski altında olduklarının farkında değil. Çalışanlarınıza, farkındalığı ve insan davranışını değiştirmeyi vurgulayan siber güvenlik eğitimi verin. Çalışanlarınıza, CEO sahtekarlığı ve kimlik avı gibi siber suçlarda meydana gelen zararlar hakkında bilgi verin.
3. İletişim
CEO dolandırıcılığı, kimlik avı, sosyal mühendislik ve siber güvenlik hakkında tutarlı iletişim ve kampanyalar sağlayın. Siber bilinçli bir organizasyon oluşturmak için haber bültenlerini, posterleri ve dahili siber kahramanları kullanın.
4. Yazılım
En popüler e-posta yazılımı, ağ dışından gelen e-postaların başlıkta veya posta kutusunun kendisinde harici olarak etiketlenmesine olanak tanır. Çalışanın yanıt vermeden önce kendisine soru sorması için görsel bir hatırlatma, genellikle eğitimin kullanılmasını sağlamanın en iyi yoludur.
5. İzleme
Siber güvenlik farkındalık eğitimi tek seferlik bir şey değildir. Çalışan farkındalığını ve bilgi düzeylerini izlemek için çalışanları düzenli olarak kimlik avı simülasyonlarına ve oyunlaştırılmış eğitimlere katılmaya teşvik edin. Bu bilgileri siber tehdit risklerini belirlemek ve çalışanlara yankı uyandıran eğitim ve bilgileri vermek için kullanın.
6. Korkuluklar
En iyi eğitimde bile kaymalar olabilir. Banka havaleleri ve şirket satın alımları için önlemler almayı düşünün. Örneğin, banka havalesini oluşturan kişinin, gerçekten göndermeden önce başka birinin onayına ihtiyacı olduğunu bir politika haline getirin. Veya herhangi bir şirket satın alımı yapılmadan önce bir formun doldurulmasını ve gözden geçirilmesini isteyin.
Sonuç olarak;
Bu aldatmacayı ezmek özellikle zordur çünkü temel insan davranışlarına dayanır. Kullanılan sosyal mühendislik teknikleri oldukça ileri düzeydedir ve e-postada sorulan görev genellikle uzun bir ofis çalışanı listesindeki rutin bir görevdir.
CEO sahtekarlığı kalıcıdır çünkü ucuzdur ve büyük potansiyel ödüllerle yürütülmesi kolaydır. Bu saldırıların engellenmesinin en yaygın yolu, kurbanın amiriyle şahsen iki kez kontrol etmesidir. Bu, dünya çapında uzaktan çalışan sayısındaki son artışın da kaçınılmaz olarak bu tür saldırıların artmasına yol açacağı anlamına geliyor.