7 кроків, щоб мінімізувати шахрайство та підробку особистих даних

Спочатку прохання про друзів у Facebook виглядало цілком нормально, але потім я зрозумів, що цей друг, якого я знаю ще зі середньої школи, вже пов’язаний зі мною у Facebook. Тож я придивився до профілю уважніше, і було зрозуміло, що це видум. Тож я подав повідомлення друзям, щоб запитати, чи надіслала вона новий запит, і вона відповіла, що цього не зробила, додавши, що останнім часом хтось намагався використати її кредитну карту, щоб придбати деякі предмети від Amazon. На щастя, вона замінила цю конкретну карту, щоб не було втрачено грошей, але, очевидно, на неї націлився злодій, що посвідчує особу. Я запропонував їй викликати поліцію, щоб повідомити про це.

Те, що відбувалося з моїм другом, є досить типовим набором подій, що трапляються на ранніх стадіях крадіжок особи. Хоча ці зусилля були зірвані, більшість людей не дізналися б так швидко. Натомість, перевіряючи фінанси своєї жертви та припускаючи її особистість у соціальних медіа, вони сподіваються отримати достатньо особистої інформації, щоб можна було себе представити в бізнес-середовищі, де спілкування відбувається по електронній пошті.

Процес працює, коли злочинець пробирається через організацію, неухильно рухаючись вгору по лінії, поки особа не зможе постати старшим працівником. Найчастіше кінцевою метою є викрадення особи генерального директора. Тоді злочинець використовує особисту електронну пошту для відкриття зв'язку з працівниками, які мають доступ до критичної корпоративної інформації, наприклад, фінансів та інтелектуальної власності (ІС). Для того, щоб виглядати законним, він може посилатися на конкретні майбутні події на роботі, недавню зустріч чи подібні події, на яких брав участь ціль, про які злодій посвідчував особистість із соціальних медіа.

Як тільки працівник переконається, що злочинець - це той, на кого він претендує, тоді запити починаються. Зазвичай вони спочатку невеликі, наприклад, замовлення товару для офісу. Але потім вони стають більшими і вимогливішими. Врешті-решт злочинець просить значні гроші або, можливо, певний IP, наприклад, креслення або технічні характеристики, буде надісланий на сторонні адреси.

Спроби шахрайства генерального директора зростають

Ці схеми можуть здатися надуманими, але вони є основою для "шахрайства з генеральним директором", що відбувається з гнітючою регулярністю. Люди з навчальної компанії з безпеки безпеки KnowBe4 пов'язують одну таку аферу, під час якої працівника відправляють у розбіг по місту в пошуках 20 подарункових карток Apple iTunes, кожна на суму 100 доларів, нібито для відправки клієнтам.

Але приклади погіршуються, і в деяких випадках сотні тисяч доларів були передані на офшорні банківські рахунки після того, як злочинець, який претендував на посаду генерального директора компанії, подав такий запит в особливо легковажну бухгалтерію. Хоча цей процес працює як і будь-яка кількість аферистів про довіру, є кроки, які може вжити ІТ-відділ, щоб мінімізувати шанси на те, що він станеться з вашою організацією.

7 кроків для мінімізації шахрайства з генеральним директором

Ці кроки включають в себе повідомлення вашому персоналу про те, що ці спроби можливі, опис форм, які вони приймуть, та надання їм знати, що співробітники служби безпеки готові допомогти. Тоді також добре створити набір правил, яких повинні дотримуватися співробітники щодо відповіді та звітування. Ось кілька пропозицій для керівників та інших керівних установ:

Надішліть електронне повідомлення всім працівникам, щоб вони повідомили, що на службовців націлюються погані хлопці, які хочуть проникнути в організацію. Скажіть їм, що вони повинні бути обізнані про спроби крадіжки особистих даних, включаючи самозванців, що їх відображають у соціальних мережах.

Просити співробітників повідомити співробітників служби безпеки, коли вони підозрюють, що до них звертаються особи-злодії; сюди входять спроби вкрасти номери кредитних карт. Навіть якщо спроба є лише випадковим скиммером, ваш персонал оцінить, що ви готові допомогти.

Слідкуйте за візерунками. Якщо ви починаєте спостерігати зростання спроб крадіжок особи проти своїх працівників, то це є ознакою того, що ви можете бути реальною ціллю. Попередьте своїх працівників.

Налаштуйте деякі конкретні речі, які ви ніколи не просите своїх співробітників. Це може включати покупку подарункових карток, попросити їх вжити будь-яких офіційних дій на основі електронного листа, надісланого через особистий рахунок, або попросити надсилати кошти або IP-адресу третім сторонам на основі запиту електронної пошти, надісланого через особистий електронний лист .

Захистіть персональну контактну інформацію, включаючи фізичну адресу, особисту адресу електронної пошти та особисті телефонні номери, своїх співробітників, щоб злодіям було важче націлити їх.

Періодично скануйте акаунти своїх соціальних медіа у працівників на предмет ознак того, що хтось їх видає на себе. Це відображатиметься як другий обліковий запис із їхнім ім’ям і зазвичай їх фотографією. Хоча у працівника можуть бути два рахунки з причини, наприклад, для особистого використання та для ділового використання, ви повинні запитати їх.

Після того як ви склали правила, дотримуйтесь їх самостійно. Якщо вам справді потрібні 100 карт iTunes, тоді замовте їх у Apple, використовуючи відповідні правила, надані відділом закупівель вашої організації.

• Найкращі рішення з управління ідентичністю на 2019 рік. Найкращі рішення з управління ідентичністю на 2019 рік
• Чи дійсно вам потрібно заплатити за послугу захисту крадіжок особи? Чи дійсно вам потрібно заплатити за послугу захисту крадіжок особи?
• Щоб припинити фішинг, Google Gave Ключі безпеки для всіх працівників, щоб припинити фішинг, Google ключі безпеки для всіх працівників

Незалежно від того, що це крадіжка особи або просто підробка особ, ці дії часто є першими етапами фішинг-атаки, оскільки зловмисникам потрібна достатня кількість інформації, щоб їх повідомлення виглядали достовірними. Фішинг-атаки є єдиним найуспішнішим методом порушення даних, оскільки вони перетинаються з простою недбалістю користувача. Припинення атак до того, як вони відбудуться, означає, що ви можете врятувати вашу організацію від значних витрат, пов’язаних з порушенням даних.

І не думайте, що це не станеться з вашою компанією, оскільки вона занадто мала. Незалежно від розміру, більшість організацій мають мінімальні бали цінності, яких шукають такі злочинці: гроші та доступ до інших компаній.