CEO Fraud คืออะไร?
แล้ว CEO Fraud คืออะไร?
การฉ้อโกง CEO เป็นการหลอกลวงทางอีเมลที่ซับซ้อนซึ่งอาชญากรไซเบอร์ใช้เพื่อหลอกให้พนักงานโอนเงินหรือให้ข้อมูลที่เป็นความลับของบริษัทแก่พวกเขา
อาชญากรไซเบอร์ส่งอีเมลที่มีเล่ห์เหลี่ยมปลอมตัวเป็น CEO ของบริษัทหรือผู้บริหารบริษัทคนอื่นๆ และขอให้พนักงานซึ่งโดยปกติจะเป็นฝ่ายทรัพยากรบุคคลหรือฝ่ายบัญชีช่วยเหลือพวกเขาด้วยการโอนเงินผ่านธนาคาร มักเรียกกันว่า Business Email Compromise (BEC) อาชญากรไซเบอร์นี้ใช้บัญชีอีเมลปลอมหรือถูกบุกรุกเพื่อหลอกลวงให้ผู้รับอีเมลดำเนินการ
การฉ้อโกงของ CEO เป็นเทคนิควิศวกรรมทางสังคมที่ต้องอาศัยการได้รับความไว้วางใจจากผู้รับอีเมล อาชญากรไซเบอร์ที่อยู่เบื้องหลังการฉ้อโกงของ CEO รู้ดีว่าคนส่วนใหญ่ไม่ได้ดูที่อยู่อีเมลอย่างใกล้ชิดหรือสังเกตเห็นความแตกต่างเล็กน้อยในการสะกดคำ
อีเมลเหล่านี้ใช้ภาษาที่คุ้นเคยแต่เร่งด่วน และทำให้ชัดเจนว่าผู้รับกำลังช่วยเหลือผู้ส่งอย่างมากโดยการช่วยเหลือพวกเขา อาชญากรไซเบอร์ใช้สัญชาตญาณของมนุษย์ในการไว้วางใจซึ่งกันและกันและความปรารถนาที่จะช่วยเหลือผู้อื่น
การโจมตีการฉ้อโกงของ CEO เริ่มต้นด้วยฟิชชิ่ง สเปียร์ฟิชชิ่ง BEC และการล่าปลาวาฬเพื่อแอบอ้างเป็นผู้บริหารบริษัท
การฉ้อฉลของ CEO เป็นสิ่งที่ธุรกิจทั่วไปต้องกังวลหรือไม่?
การฉ้อฉลของ CEO กำลังกลายเป็นอาชญากรรมทางไซเบอร์ที่พบได้บ่อยมากขึ้น อาชญากรไซเบอร์รู้ว่าทุกคนมีกล่องจดหมายเต็ม ทำให้ง่ายต่อการจับคนที่ไม่ระวังตัวและโน้มน้าวให้พวกเขาตอบสนอง
พนักงานจำเป็นต้องเข้าใจถึงความสำคัญของการอ่านอีเมลอย่างละเอียดและตรวจสอบยืนยันที่อยู่และชื่อของผู้ส่งอีเมล การฝึกอบรมการตระหนักรู้ด้านความปลอดภัยในโลกไซเบอร์และการศึกษาต่อเนื่องเป็นเครื่องมือสำคัญในการเตือนผู้คนให้ตระหนักถึงความสำคัญของการตระหนักรู้ในโลกไซเบอร์เมื่อพูดถึงอีเมลและกล่องจดหมาย
อะไรคือสาเหตุของการทุจริตของ CEO?
อาชญากรไซเบอร์อาศัยกลวิธีหลัก XNUMX ประการในการฉ้อโกง CEO:
วิศวกรรมทางสังคม
วิศวกรรมสังคมอาศัยสัญชาตญาณแห่งความไว้วางใจของมนุษย์เพื่อหลอกล่อผู้คนให้ให้ข้อมูลลับ ด้วยการใช้อีเมล ข้อความ หรือโทรศัพท์ที่เขียนอย่างระมัดระวัง อาชญากรไซเบอร์จะได้รับความไว้วางใจจากเหยื่อและโน้มน้าวให้พวกเขาให้ข้อมูลที่ร้องขอ หรือยกตัวอย่าง เช่น ให้โอนเงินผ่านธนาคาร เพื่อให้ประสบความสำเร็จ Social Engineering ต้องการเพียงสิ่งเดียว: ความไว้วางใจจากเหยื่อ เทคนิคอื่นๆ ทั้งหมดเหล่านี้จัดอยู่ในประเภทของวิศวกรรมสังคม
ฟิชชิ่ง
ฟิชชิงเป็นอาชญากรรมทางไซเบอร์ที่ใช้กลยุทธ์ต่างๆ เช่น อีเมล เว็บไซต์ และข้อความหลอกลวงเพื่อขโมยเงิน ข้อมูลภาษี และข้อมูลลับอื่นๆ อาชญากรไซเบอร์ส่งอีเมลจำนวนมากไปยังพนักงานบริษัทต่างๆ โดยหวังว่าจะหลอกให้ผู้รับอย่างน้อยหนึ่งคนตอบกลับ อาชญากรอาจใช้มัลแวร์กับไฟล์แนบอีเมลที่ดาวน์โหลดได้หรือตั้งค่าหน้า Landing Page เพื่อขโมยข้อมูลประจำตัวของผู้ใช้ ทั้งนี้ขึ้นอยู่กับเทคนิคฟิชชิง ใช้วิธีใดวิธีหนึ่งเพื่อเข้าถึงบัญชีอีเมลของ CEO รายชื่อผู้ติดต่อ หรือข้อมูลลับที่สามารถใช้เพื่อส่งอีเมลหลอกลวง CEO ที่กำหนดเป้าหมายไปยังผู้รับที่ไม่สงสัย
หอกฟิชชิ่ง
การโจมตีด้วยฟิชชิงแบบสเปียร์ใช้อีเมลที่กำหนดเป้าหมายอย่างมากกับบุคคลและธุรกิจ ก่อนส่งอีเมลฟิชชิ่งแบบสเปียร์ อาชญากรไซเบอร์จะใช้อินเทอร์เน็ตเพื่อรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเป้าหมายของพวกเขา จากนั้นจึงนำไปใช้ในอีเมลฟิชชิ่งแบบสเปียร์ ผู้รับเชื่อถือผู้ส่งและคำขออีเมลเพราะมาจากบริษัทที่ทำธุรกิจด้วยหรืออ้างอิงเหตุการณ์ที่เข้าร่วม จากนั้นผู้รับจะถูกหลอกให้ให้ข้อมูลตามที่ร้องขอ ซึ่งจากนั้นจะใช้เพื่อก่ออาชญากรรมทางไซเบอร์ต่อไป รวมถึงการฉ้อโกงของ CEO
การล่าปลาวาฬผู้บริหาร
Executive Whaling เป็นอาชญากรไซเบอร์ที่มีความซับซ้อน โดยอาชญากรจะปลอมตัวเป็น CEO, CFO และผู้บริหารของบริษัทอื่นๆ เพื่อหวังหลอกล่อให้เหยื่อแสดงพฤติกรรม เป้าหมายคือการใช้อำนาจหรือสถานะของผู้บริหารเพื่อโน้มน้าวให้ผู้รับตอบสนองอย่างรวดเร็วโดยไม่ต้องตรวจสอบคำขอกับเพื่อนร่วมงานคนอื่น ผู้ที่ตกเป็นเหยื่อรู้สึกเหมือนกำลังทำสิ่งดีๆ โดยช่วยเหลือ CEO และบริษัท เช่น จ่ายเงินให้บริษัทบุคคลที่สาม หรืออัปโหลดเอกสารภาษีไปยังเซิร์ฟเวอร์ส่วนตัว
เทคนิคการฉ้อฉลของ CEO เหล่านี้ทั้งหมดอาศัยองค์ประกอบหลักเพียงอย่างเดียว นั่นคือผู้คนไม่ว่างและไม่สนใจอีเมล, URL ของเว็บไซต์, ข้อความตัวอักษร หรือรายละเอียดเกี่ยวกับข้อความเสียง สิ่งที่ต้องทำคือไม่มีข้อผิดพลาดในการสะกดคำหรือที่อยู่อีเมลที่แตกต่างกันเล็กน้อย และอาชญากรไซเบอร์ก็เป็นฝ่ายชนะ
สิ่งสำคัญคือต้องให้การศึกษาและความรู้ด้านความปลอดภัยแก่พนักงานของบริษัท ซึ่งเน้นย้ำถึงความสำคัญของการให้ความสนใจกับที่อยู่อีเมล ชื่อบริษัท และคำขอที่มีความน่าสงสัย
วิธีป้องกันการฉ้อโกงของ CEO
- ให้ความรู้แก่พนักงานของคุณเกี่ยวกับกลยุทธ์การฉ้อโกงของ CEO ทั่วไป ใช้ประโยชน์จากเครื่องมือจำลองฟิชชิ่งฟรีเพื่อให้ความรู้และระบุความเสี่ยงฟิชชิ่ง วิศวกรรมสังคม และการทุจริตของ CEO
- ใช้การฝึกอบรมการรับรู้ด้านความปลอดภัยที่ได้รับการพิสูจน์แล้วและแพลตฟอร์มการจำลองฟิชชิ่งเพื่อให้พนักงานตระหนักถึงความเสี่ยงในการโจมตีจากการฉ้อโกงของ CEO สร้างฮีโร่ด้านความปลอดภัยในโลกไซเบอร์ภายในที่มุ่งมั่นที่จะรักษาความปลอดภัยให้กับองค์กรของคุณในโลกไซเบอร์
- เตือนผู้นำด้านความปลอดภัยและฮีโร่ด้านความปลอดภัยในโลกไซเบอร์ให้ตรวจสอบความปลอดภัยในโลกไซเบอร์ของพนักงานอย่างสม่ำเสมอและการรับรู้ถึงการฉ้อโกงด้วยเครื่องมือจำลองฟิชชิ่ง ใช้ประโยชน์จากโมดูลไมโครเลิร์นนิงการฉ้อโกงของ CEO เพื่อให้ความรู้ ฝึกอบรม และเปลี่ยนแปลงพฤติกรรม
- จัดให้มีการสื่อสารและการรณรงค์อย่างต่อเนื่องเกี่ยวกับความปลอดภัยทางไซเบอร์ การฉ้อฉลของ CEO และวิศวกรรมสังคม ซึ่งรวมถึงการกำหนดนโยบายรหัสผ่านที่รัดกุมและเตือนพนักงานเกี่ยวกับความเสี่ยงที่อาจมาในรูปแบบของอีเมล URL และไฟล์แนบ
- กำหนดกฎการเข้าถึงเครือข่ายที่จำกัดการใช้อุปกรณ์ส่วนตัวและการแบ่งปันข้อมูลภายนอกเครือข่ายองค์กรของคุณ
- ตรวจสอบให้แน่ใจว่าแอปพลิเคชัน ระบบปฏิบัติการ เครื่องมือเครือข่าย และซอฟต์แวร์ภายในทั้งหมดเป็นปัจจุบันและปลอดภัย ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์และป้องกันสแปม
- รวมแคมเปญการรับรู้ความปลอดภัยในโลกไซเบอร์ การฝึกอบรม การสนับสนุน การศึกษา และการจัดการโครงการเข้ากับวัฒนธรรมองค์กรของคุณ
การจำลองฟิชชิ่งช่วยป้องกันการฉ้อโกงของ CEO ได้อย่างไร
- วัดระดับความเปราะบางขององค์กรและพนักงาน
- ลดระดับความเสี่ยงจากภัยคุกคามทางไซเบอร์
- เพิ่มการแจ้งเตือนผู้ใช้ต่อการฉ้อโกงของ CEO, ฟิชชิ่ง, สเปียร์ฟิชชิ่ง, วิศวกรรมสังคม และความเสี่ยงจากการล่าปลาวาฬของผู้บริหาร
- ปลูกฝังวัฒนธรรมความปลอดภัยในโลกไซเบอร์และสร้างฮีโร่ด้านความปลอดภัยในโลกไซเบอร์
- เปลี่ยนพฤติกรรมเพื่อกำจัดการตอบกลับที่เชื่อถือได้โดยอัตโนมัติ
- ปรับใช้โซลูชันต่อต้านฟิชชิ่งที่ตรงเป้าหมาย
- ปกป้องข้อมูลองค์กรและข้อมูลส่วนตัวอันมีค่า
- ปฏิบัติตามข้อผูกพันในการปฏิบัติตามข้อกำหนดของอุตสาหกรรม
- ประเมินผลกระทบของการฝึกอบรมความตระหนักด้านความปลอดภัยในโลกไซเบอร์
- ลดรูปแบบการโจมตีที่พบบ่อยที่สุดที่ทำให้เกิดการละเมิดข้อมูล
เรียนรู้เพิ่มเติมเกี่ยวกับการฉ้อโกงของ CEO
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการฉ้อฉลของ CEO และวิธีที่ดีที่สุดในการรักษาความปลอดภัยให้กับองค์กรของคุณ ติดต่อเรา ถ้าคุณมีคำถามใด ๆ