Co je to „podvod CEO“?
Podvod na generálním řediteli je typ kybernetického útoku, který lze spáchat dosud popsanými metodami: phishingem (e-mail), vishingem (telefonát nebo videohovor) a smishingem (textová zpráva nebo zaslání obrazové či zvukové zprávy).
Spočívá v tom, že se vydává za osobu, která má v soukromé společnosti nebo veřejném subjektu určitou pozici, pravomoc nebo odpovědnost. Ačkoli se jedná o CEO (generální nebo výkonný ředitel), lze jej nahradit jakýmikoli manažery, řediteli, koordinátory nebo dokonce politiky a veřejně činnými osobami.
Cílem je, aby měl uživatel plnou důvěru v obdržené sdělení, protože je osobou, které důvěřuje a jejíž žádost musí být vyřízena. V současné době je totiž stále snadnější vytvářet falešnou komunikaci s využitím skutečné podoby a hlasu osoby (jak vidíme na ukázkovém obrázku s tvářemi celebrit) pomocí umělé inteligence. Kromě toho, aby uživatelé neměli čas si odpověď důkladně promyslet nebo odhalit podvod, jsou žádosti podané těmito prostředky téměř vždy velmi naléhavé.
Co to znamená?
Pokud nás šéf naléhavě požádá o změnu hesla, stažení souboru, převod nebo poskytnutí nějakých údajů či informací, pravděpodobně zareagujeme co nejrychleji, aniž bychom se zamysleli nad tím, zda to, co po nás chce, dává smysl.
Jak můžeme tyto útoky odhalit?
- Kontaktování jinými prostředky: Telefonát osobě, která něco naléhavě požaduje, nám umožní ověřit, zda se jedná o podvod nebo skutečnou žádost. Je velmi důležité, abychom se nesnažili provést tuto kontrolu tím, že odpovíme na stejnou zprávu, protože bychom mohli kyberzločince upozornit na naše podezření a bylo by to ještě horší.
- Použití běžné logiky: Zamyslete se nad tím, zda to, co je požadováno, je obvyklé, nebo zda jsou dokonce využívány cesty uvedené v podnikových zásadách nebo pracovních postupech pro takové žádosti. Podívejme se na několik příkladů:
-
- Pokud je v interních postupech uvedeno, že o změnu hesla je třeba požádat poštou na konkrétní adresu podpory nebo prostřednictvím konkrétní platformy, nespoléhejte na telefonáty nebo textové či hlasové zprávy, které můžete obdržet, aniž byste si byli jisti, že se nejedná o podvod.
- Pokud máme zakázáno zasílat informace prostřednictvím Whatsappu nebo podobných služeb, náš nadřízený nás nikdy nebude žádat o důvěrné dokumenty nebo údaje tímto způsobem.
- Pokud je u převodů vyžadováno dvojí schválení nebo interní kontrola, neměňte platební údaje a neprovádějte tyto transakce na lehkou váhu. Ať už jsou jakkoli naléhavé.
-
ZNOVU PŘIPOMÍNÁME: Pokud se domníváte, že jste v důsledku tohoto typu kybernetického útoku poskytli osobní nebo profesní informace, které jste neměli zveřejnit, nahlaste to IT oddělení, CISO nebo DPO na pracovišti a informujte policii .