Geekflare
In Sécurité  |  Dernière mise à jourated:
Partager sur:
Logiciel Jira est l'outil de gestion de projet n°1 utilisé par les équipes agiles pour planifier, suivre, publier et prendre en charge d'excellents logiciels.

E-mail de votre PDG ? : Explication de la fraude par hameçonnage à la baleine

By

As tu lately recevez-vous un e-mail de votre « PDG » vous demandant de transférer de l'argent à un « fournisseur » ? Ne le fais pas ! C'est une fraude au PDG que je vais expliquer en détail.

Commençons par une petite histoire de fond.

La fraude au PDG m'est arrivée presque deux mois après mon arrivée Geekflare à temps plein writer.

PDG-fraude-arnaque
PDG-fraude-arnaque
PDG-fraude-arnaque

Ce n'était pas évident tout de suite, car l'escroc utilisait un nom de domaine réputé Virgin Media (caneae@virginmedia.com), et je pensais que mon PDG était d'une manière ou d'une autre lié à cette entreprise de télécommunications puisque les deux sont locauxated au Royaume-Uni.

Alors, j'ai répondu au premier « Je voudrais vous confier une tâche, êtes-vous libre ? » positivement. Ensuite, le sender a détaillé une tâche englobant le transfert de 24,610 300 INR (~ XNUMX $) à un fournisseur, dont les détails auraient été partagés si j'avais accepté.

Mais cela m'a rendu un peu méfiant et j'ai demandé au sender pour prouver leur identité avant de pouvoir transférer quoi que ce soit. Quelques emails later, le fraudeur a appelé à démissionner et j'ai envoyé la conversation à mon actuel PDG et à la cellule informatique de Virgin Media.

Même si je n'avais aucune formation préalable pour gérer ce genre de fraude, j'ai eu la chance de ne pas tomber dans ce piège.

Mais nous ne devrions pas compter sur la pure chance ; au lieu de cela, sachez-le dès le départ et éduquez-le.ate autres.

CEO Fraud, alias Executive Phishing

Cela relève hameçonnage, une attaque visant une organisation particulière ou certains de ses employés. Il sera connu comme un attaque de phishing à la baleine si l'objectif est un niveau élevéprofile employé (comme un c-suite) de n’importe quelle institution.

Le Federal Bureau of Investigation, États-Unis, classe ces escroqueries sous le Compromis d'e-mails professionnels (BEC) or Compromis de compte de messagerie (EAC), qui a représenté près de 2.4 milliards de dollars de pertes en 2021, selon ce Rapport sur la criminalité sur Internet.

Portéeally, le Nigeria est le premier pays hébergeant 46% des fraudes aux PDG, suivis des États-Unis (27 %) et du Royaume-Uni (15 %).

Comment cela marche-t-il?

Comment cela marche-t-il
Comment cela marche-t-il
Comment cela marche-t-il

Notamment, la fraude au PDG ne nécessite aucune compétence technique ou savoir-faire criminel. Tout ce que vous recevrez est un e-mail aléatoire et ingénierie sociale pour vous inciter à envoyer des fonds ou revrécupérer des détails sensibles pour poursuivre vos actions illicites.

Voyons quelques façons dont les mauvais acteurs le font "actuellement".

Tapez 1

Un hasard adresse e-mail imposer que le PDG demande de l'argent est la forme la plus simple d'une telle supercherie. Et celui-ci est facile à repérer. Tout ce que vous avez à rechercher est l'adresse e-mail (et non le nom).

Générerally, le nom de domaine (xyz@nomentreprise.com) révèle la fraude. Cependant, l'adresse e-mail peut indiquerate une organisation renommée (comme c'était dans mon cas).

Ces récompenses ont ajouté de la légitimité à l'escroquerie, qui peut victimiser un professionnel non averti. De plus, l'adresse e-mail peut sembler authentique mais avec de légers changements imperceptibles, comme @gmial.com à la place de @gmail.com.

finally, cela peut provenir d'un légitimeate mais une adresse e-mail compromise, ce qui rend extrêmement difficile la détection de l'arnaque.

Tapez 2

Un autre plus sophistiquéateLa technique utilise les appels vidéo. Cela inclut une adresse e-mail « gérée » d'un haut fonctionnaire envoyant des demandes de réunion en ligne « urgentes » à ses employés, principalement au sein du département financier.

Ensuite, les participants voient une image sans audio (ou avec un son deepfake) avec une affirmation selon laquelle la connexion ne fonctionne pas comme prévu.

Par la suite, le « chef d'entreprise » demande à initierate un virement bancaire vers des comptes bancaires inconnus, d'où l'argent est siphonné via d'autres canaux (lire crypto-monnaies) après une fraude réussie.

Tapez 3

Celui-ci est une variante du type 1 mais cible les partenaires commerciaux et non les employés, obtenant ainsi une fraude au nom et à la facture plus adaptée à son mode opératoire.andi.

Dans ce cas, le client d'une organisation reçoit un e-mail pour payer de toute urgence une facture sur des comptes bancaires spécifiques.

chef de la direction-fraude-1
La source: CBC Nouvelles
chef de la direction-fraude-1
La source: CBC Nouvelles
chef de la direction-fraude-1
La source: CBC Nouvelles

Celui-ci a le plus grand succèsate comme c'est la normeally réussi à utiliser une adresse e-mail d'entreprise piratée. Et comme l'email est le moyen, parfois exclusif, des professionnels de communiquerate, cela entraîne d’énormes pertes financières et de réputation pour l’organisation cible.

Comment vérifier la fraude au PDG ?

Comment-vérifier-fraude-PDG
Comment-vérifier-fraude-PDG
Comment-vérifier-fraude-PDG

En tant qu'employé, il est difficile de rejeter une demande de votre propre PDG. Cette psyché est la principale cause du succès des auteurs avec juste un e-mail aléatoire.

En plus de remettre en question les demandes financières, il est préférable de demander une réunion vidéo avant de « coopérer ».

De plus, dans la plupart des cas, il vous suffit de vérifier attentivement l'adresse e-mail. Cela peut ne pas appartenir à votre organisation ou peut avoir des versions mal orthographiées du nom de l'entreprise.

De plus, une institution ne peut pas enregistrer toutes les extensions de domaine. Donc, vous devez vous méfier de recevoir un e-mail de xyz@entreprise.net quand l'adresse officielle devrait être xyz@entreprise.com.

Enfin, vous recevez peut-être des e-mails d'un opérateur d'adresse d'entrepriseated de "l'extérieur" ou d'un voyou internal membre. La clé d’une telle situation est la confirmation verbale ou la tenue de plusieurs dirigeants au courant avant d’effectuer un paiement.

Et le moyen le plus efficace de protéger votre organisation, si vous en dirigez une, consiste à intégrer la simulation de phishing dans la formation de routine des employés. Car ces fraudeurs évoluent constamment. Donc, donner un seul avertissement unique n'aidera pas beaucoup vos employés.

Emballer!

Unfortunately, nous dépendons énormément de courriels professionnels, laissant de grandes lacunes que les criminels exploitent souvent.

Bien qu'il n'existe pas encore de substitut à cette forme de communication, nous pouvons ajouter des partenaires commerciaux sur des applications telles que Slack ou même WhatsApp. Cela permettra de confirmer rapidement si quelque chose semble suspect et d’éviter de tels revers.

PS : Si j'étais vous, je ne manquerais pas cet article sur types de cybercrimes pour une culture Internet supplémentaire.

Partager sur:
  • Hitesh Sant
    Auteur
    Hitesh travaille en tant que senior writer at Geekflare et s'intéresse à la cybersécurité, à la productivité, aux jeux et au marketing. En outre, il est titulaire d'une maîtrise en ingénierie des transports. Son temps libre est principalement consacré à jouer avec son fils, à lire ou à mentir…
Publié dans

Merci à nos commanditaires

Plus de bonnes lectures sur la sécurité

Alimentez votre entreprise

Certains des outils et services pour aider votre entreprise grow.
  • Murf AI

    L'outil de synthèse vocale qui utilise l'IA pour générerate des voix humaines réalistes.

    Essayez Murf AI
  • Données lumineuses

    Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.

    Essayez Brightdata
  • Monday.com

    Monday.com est un système d'exploitation de travail tout-en-un pour vous aider à gérer les projets, les tâches, le travail, les ventes, le CRM, les opérations, workflowset plus encore.

    Essayez Monday
  • Intruder

    Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.

    Essayez Intruder