Panduan untuk mengesan penipuan penyamaran eksekutif kanan sebelum CEO palsu mendapat pindahan kawat sebenar.
Anda menerima e-mel atau panggilan. Nama di skrin ialah CEO atau CFO anda. Nada suaranya serius. Terdapat perjanjian sulit yang sedang berlaku, pengambilalihan, perkara kawal selia, sesuatu yang besar. Dan mereka memerlukan anda bertindak pantas, senyap, dan tanpa memberitahu sesiapa pun.
Ia terasa mendesak. Ia terasa nyata. Dan itulah intinya.
Penipuan penyamaran eksekutif kanan merupakan salah satu bentuk penipuan kewangan yang paling biasa menyasarkan perniagaan hari ini. Penipu meluangkan masa menyelidik syarikat anda, mempelajari nama, carta organisasi dan gaya komunikasi sebelum mereka menghubungi anda. Apabila mereka menghubungi anda, mereka kedengaran seperti seseorang yang anda kenali dan percayai. Tetapi sebenarnya tidak. Mereka seorang penipu.
Berita baiknya ialah sebaik sahaja anda tahu apa yang perlu dicari, penipuan ini mudah dikesan.
Penipu mengikuti corak yang boleh diramal. Mengetahuinya meletakkan anda di hadapan mereka.
Mereka bermula dengan penyamaranPenyerang menyelidik pasukan kepimpinan anda secara terperinci dan menyamar sebagai CEO, CFO atau pengarah kanan. Mereka menghubungi anda melalui panggilan mudah alih, aplikasi pesanan atau akaun e-mel yang hampir menyerupai akaun yang sah. Dalam beberapa kes, mereka juga menggunakan identiti eksekutif sebenar yang dicuri atau merujuk penasihat undang-undang luaran untuk menjadikan permintaan itu terasa sah.
Seterusnya ialah cerita. Ia hampir selalu dibingkaikan sebagai projek yang sangat sulitPenggabungan, pengambilalihan, pelaburan atau penstrukturan semula segera adalah tema biasa. Anda akan mendengar frasa seperti "ini di bawah NDA," "undang-undang terlibat," atau "hanya anda yang tahu." Ini bukanlah tanda-tanda sah seorang eksekutif sebenar. Ia direka untuk mengasingkan anda dan menghalang anda daripada mengesahkan permintaan tersebut.
Mereka juga akan menolak anda keluar dari saluran rasmiDaripada menggunakan e-mel syarikat atau sistem yang diluluskan, mereka mengalihkan perbualan ke akaun e-mel peribadi, aplikasi pemesejan atau panggilan telefon. Ini membantu mereka mengelakkan kawalan keselamatan dan tidak meninggalkan jejak audit.
Jangkakan tekananPerkataan seperti "mendesak," "diperlukan hari ini," atau "ini mesti diselesaikan sebelum penghujung hari" digunakan untuk memaksa tindakan pantas. Eksekutif sebenar tidak meminta anda memintas proses di bawah tekanan. Penipu bergantung pada tindakan anda untuk bertindak balas dengan cepat, menghalang anda daripada menggunakan pertimbangan yang baik.
Dalam serangan yang lebih maju, penipu mengadakan keseluruhan mesyuaratMereka membuat panggilan video palsu dengan peserta yang kelihatan seperti eksekutif, peguam atau kakitangan kewangan sebenar. Ada juga yang menggunakannya deepfake teknologi atau foto profil yang diambil daripada LinkedIn untuk menjadikan interaksi terasa asli. Jika sesuatu terasa sedikit janggal, percayai naluri itu dan berhenti daripada menyertai kumpulan muzik di saluran komunikasi lain.
Akhir sekali, mereka sering menyediakan dokumentasi untuk menyokong permintaan tersebutIni mungkin termasuk kontrak palsu, kelulusan lembaga, surat tawaran atau kebenaran. Dokumen-dokumen ini kelihatan meyakinkan pada pandangan pertama tetapi selalunya mengandungi ralat halus, pemformatan yang tidak konsisten, butiran pengirim yang mencurigakan atau keadaan yang luar biasa.
Apabila sesuatu terasa janggal, Berhenti seketika (P) sebelum anda bertindak, Nilai (A) situasi tersebut dan Laporkan (R) sebarang masalah kepada pengurus, kepimpinan atau IT anda. PAR ialah akronim yang mudah dan berguna untuk diingati oleh sesiapa sahaja pada bila-bila masa.
Semasa menilai situasi, angkat telefon dan hubungi orang tersebut secara langsung menggunakan nombor yang telah anda simpan dalam rekod. Jangan gunakan sebarang maklumat hubungan daripada mesej yang mencurigakan. Panggilan pantas ke nombor yang disahkan mengambil masa dua minit dan boleh menjimatkan syarikat anda beribu-ribu dolar.
Laporkan kebimbangan anda kepada rakan sekerja atau pasukan IT anda. Penipu bergantung pada anda untuk berasa keseorangan pada masa itu. Membawa orang lain ke dalam perbualan serta-merta mengubah dinamik. Eksekutif sebenar tidak membantah pandangan kedua terhadap permintaan yang luar biasa. Budaya syarikat yang baik memberi ganjaran kepada pemeriksaan sedemikian daripada mempersoalkannya atau memalukan orang itu dengan menyemak semula.
Jika permintaan meminta anda melangkau proses kelulusan biasa anda, itu adalah isyarat yang paling jelas. Pindahan kawat, pembayaran vendor baharu dan perubahan akaun semuanya mempunyai kawalan atas sebab tertentu. Penyerang kerap mendakwa akan ada akibat buruk jika anda memperlahankan atau melaporkan masalah tersebut. Mereka mahu anda percaya bahawa keadaan segera itu nyata dan taruhannya adalah peribadi. Tiada kecemasan tulen yang mewajarkan untuk memintas proses kelulusan anda dan tiada eksekutif sebenar yang akan meminta anda menyembunyikan transaksi kewangan daripada pasukan anda sendiri.
Masa terbaik untuk membincangkan perkara ini dengan pasukan anda adalah sebelum ia berlaku. Elakkan daripada mencipta dokumen proses 30 halaman yang rumit yang tidak dibaca oleh sesiapa. Anda memerlukan pemahaman yang mudah dan dikongsi bahawa permintaan kewangan yang luar biasa sentiasa mendapat pengesahan telefon, tidak kira siapa yang meminta.
Latih kakitangan anda untuk mengenali tanda-tanda bahaya: alamat e-mel peribadi atau akaun luaran yang digunakan untuk permintaan segera, tuntutan kerahsiaan dan tekanan untuk bertindak segera.
Penipu bergantung pada kelajuan dan kesunyian. Anda mengalahkan mereka dengan panggilan telefon selama dua minit dan budaya di mana pengesahan sentiasa dialu-alukan, digalakkan, malah diperlukan.
Kongsikan artikel ini dengan ahli pasukan anda yang mengendalikan pembayaran, pemindahan atau permintaan vendor. Berbual selama lima minit tentang apa yang perlu dilakukan jika sesiapa menerima mesej seperti yang diterangkan di atas. Setujui peraturan mudah bersama-sama: sebarang permintaan kewangan segera daripada eksekutif akan mendapat pengesahan suara sebelum tindakan diambil. Dokumenkan perkara ini dalam dokumen dasar atau proses kewangan yang ringkas, tetapi pastikan ia ringkas.
Tabiat ini merupakan langkah berkesan yang boleh diambil oleh organisasi anda hari ini, bahagian terbaiknya ialah ia tidak memerlukan bajet tambahan!
Temui dan kongsi trend keselamatan siber terkini, petua dan amalan terbaik – di samping ancaman baharu yang perlu diberi perhatian.
Token OAuth tidak akan luput apabila pekerja berhenti, kata laluan bertukar atau aplikasi menjadi tidak berfungsi. Program keselamatan anda memerlukan...
Maklumat Lanjut
Kebanyakan pelanggaran tidak bermula dengan penggodam berhoodie memecahkan kod pada pukul 3 pagi. Ia bermula dengan nama pengguna anda dan...
Maklumat Lanjut
Kemas Kini Artikel: Sehingga 6 Mei 2026, setiap makmal AI utama AS, termasuk Google DeepMind, Microsoft, xAI,...
Maklumat LanjutDapatkan pandangan yang lebih tajam tentang risiko manusia, dengan pendekatan positif yang mengatasi ujian phish tradisional.
