Какая? Я уволен? – Не становитесь жертвой целевого фишинга!

В январе генеральный директор аэрокосмической компании FACC в Европе стал жертвой, возможно, одной из самых страшных атак киберфишинга в истории. Позже выяснилось, что было украдено 50 миллионов евро. Это огромное количество теста.

Целевой фишинг + руководители = китобойный промысел

Если вы не в курсе, FACC и другие организации, потерявшие непомерные суммы денег, стали жертвами . Эта растущая угроза безопасности использует персонализированные попытки целевого фишинга, нацеленные специально на руководителей высокого уровня в компаниях, чтобы получить доступ к конфиденциальным данным компании или, в данном случае, к большому количеству наличных денег. Льюис Морган из европейского блога IT Governance предположил, что эта фишинговая кампания побудила какого-то руководителя высшего уровня совершить мошенничество с использованием электронных средств связи. И он, наверное, прав.

Не так много информации дается о том, кто что сделал. В конце концов, никого не нужно называть и стыдить — значительный ущерб уже нанесен. Однако мы знаем, что генеральный директор потерял свое место в совете директоров. Мы также знаем, что сотрудница финансового отдела и ее руководитель были уволены.

Поскольку люди представляют наибольшую угрозу для безопасности, будь то компьютерная безопасность или финансовая безопасность, благодаря развитию социальной инженерии растет число фишинговых атак, особенно тех, которые направлены на использование компаний, обладающих финансовыми ресурсами, для досрочного отправления хакера на пенсию.. Mimecast сообщил в первом квартале 2016 года, что среди 436 ИТ-специалистов в США, Великобритании, Южной Африке и Австралии 67% наблюдали рост атак, направленных на то, чтобы спровоцировать сотрудника компании на оплату услуг, а 43% наблюдали увеличение количества запросов. для служебной и строго конфиденциальной информации.

На самом деле, давайте взглянем еще на некоторые исторические моменты китобойного промысла:

• В апреле 2015 года стало известно, что бюджетная авиакомпания Ryanair стала жертвой аферы на сумму 4,6 млн евро, а деньги попали в руки китайцев.
• Xoom, провайдер онлайн-переводов, объявил в январе 2016 года, что он потерял 30,8 миллиона долларов в результате выдачи себя за другое лицо и мошеннических запросов, направленных на финансовый отдел компании. В ответ ее финансовый директор ушел в отставку.
• Прошлым летом Ubiquiti Networks, компания, занимающаяся беспроводными сетями, сообщила, что потеряла 46,7 миллиона долларов благодаря поддельному электронному письму, которое было отправлено руководителю компании с целью инициировать несанкционированный банковский перевод.
• У Mattel выманили 3 миллиона долларов, потому что чрезмерно рьяный новый сотрудник хотел произвести впечатление на своего нового «босса», который этого не сделал.
• Snapchat предоставил информацию о сотрудниках, когда его отдел по начислению заработной платы попросили предоставить информацию о заработной плате сотрудников, и они согласились.

Важно внимательно относиться к каждому электронному письму, которое приходит в ваш почтовый ящик. А это значит уделять им должное внимание. Если кто-то просит много денег по электронной почте, подумайте дважды — в конце концов, сколько людей на самом деле просят миллионы долларов?

Так что наказание компании за FACC, возможно, подошло. Вы не можете исправить Stupid, но вы можете уволить Stupid. (Вы также можете быть уверены, что Stupid никогда не сделает этого снова, но может быть слишком поздно!)

Увольнение как сотрудницы, так и ее начальника также создает важный прецедент: любой тип запроса на конфиденциальную информацию или финансы, особенно на значительную сумму, должен проходить согласованный процесс утверждения двумя людьми. Надзорный орган всегда должен подписывать такие транзакции.

Если бы Барт Симпсон писал на доске, он и каждый сотрудник этих крупных компаний написали бы на доске 101 раз:

Я никогда не буду давать инструкции по банковскому переводу по электронной почте, не позвонив вам лично.

Но нам придется довольствоваться тем, что вы скажете это вслух каждому потенциальному запрашивающему — по крайней мере, дважды.

А пока обучайте себя и своих сотрудников, и хотя электронная почта и онлайн-общение — отличный способ общения, они также помогают общаться с людьми. Но если ничего не помогает, пройдите этот тест на фишинг и посмотрите, насколько хорошо вы справитесь. Если вы или ваши сотрудники терпят неудачу, инвестируйте в обучение или увольняйте Stupid.