Üst düzey yönetici kılığına girme dolandırıcılıklarını, sahte CEO'nun gerçek para transferini almadan önce nasıl tespit edeceğinize dair bir rehber.
Bir e-posta veya telefon alıyorsunuz. Ekranda CEO'nuzun veya CFO'nuzun adı yazıyor. Ses tonu ciddi. Gizli bir anlaşma, bir satın alma, bir düzenleme konusu, büyük bir şey gerçekleşiyor. Ve sizden hızlı, sessiz ve kimseye haber vermeden hareket etmenizi istiyorlar.
Acil bir durum gibi geliyor. Gerçek gibi geliyor. Ve asıl mesele de bu zaten.
Üst düzey yönetici kılığına girme dolandırıcılığı, günümüzde işletmeleri hedef alan en yaygın finansal dolandırıcılık türlerinden biridir. Dolandırıcılar, sizinle iletişime geçmeden önce şirketiniz hakkında araştırma yapar, isimleri, organizasyon şemalarını ve iletişim tarzlarını öğrenirler. Sizinle iletişime geçtiklerinde ise tanıdığınız ve güvendiğiniz biri gibi görünürler. Ama aslında öyle değillerdir. Onlar bir sahtekardır.
İyi haber şu ki, neye dikkat etmeniz gerektiğini bildiğinizde, bu dolandırıcılık yöntemlerini tespit etmek şaşırtıcı derecede kolay.
Dolandırıcılar tahmin edilebilir bir yöntem izler. Bunu bilmek sizi onlardan bir adım öne geçirir.
Kimlik taklitiyle başlarlar.Saldırganlar, yönetim ekibinizi ayrıntılı olarak araştırır ve CEO, CFO veya üst düzey yönetici gibi davranırlar. Sizinle, meşru olanlara çok benzeyen mobil aramalar, mesajlaşma uygulamaları veya e-posta hesapları aracılığıyla iletişime geçerler. Bazı durumlarda, talebin meşru görünmesini sağlamak için gerçek yöneticilerin çalınmış kimliklerini bile kullanırlar veya harici hukuk danışmanlarına atıfta bulunurlar.
Sıradaki adım hikaye. Bu hikaye neredeyse her zaman son derece gizli bir proje olarak sunulur.Birleşmeler, devralmalar, yatırımlar veya acil yeniden yapılanmalar sıkça karşılaşılan konulardır. "Bu gizlilik sözleşmesi kapsamındadır," "hukuki birim devreye girdi" veya "sadece siz bilebilirsiniz" gibi ifadeler duyarsınız. Bunlar gerçek bir yöneticinin meşru işaretleri değildir. Sizi izole etmek ve talebi doğrulamanızı engellemek için tasarlanmışlardır.
Ayrıca sizi resmi kanallardan da uzaklaştıracaklar.Şirket e-postası veya onaylı sistemler yerine, görüşmeleri özel e-posta hesaplarına, mesajlaşma uygulamalarına veya telefon görüşmelerine taşıyorlar. Bu, güvenlik kontrollerinden kaçınmalarına ve denetim izi bırakmamalarına yardımcı oluyor.
Baskı bekleyin."Acil," "bugün gerekli" veya "bu iş gün sonuna kadar tamamlanmalı" gibi kelimeler, hızlı hareket etmenizi sağlamak için kullanılır. Gerçek yöneticiler, baskı altında süreci atlamanızı istemezler. Dolandırıcılar, sağduyulu davranmanızı engelleyerek hızlı tepki vermenizi sağlamaya çalışırlar.
Daha gelişmiş saldırılarda, dolandırıcılar tüm toplantıları kurguluyorlar.Gerçek yöneticiler, avukatlar veya finans personeli gibi görünen katılımcılarla sahte görüntülü görüşmeler kuruyorlar. Hatta bazıları bunu kullanıyor. deepfake Etkileşimin gerçekçi görünmesini sağlamak için LinkedIn'den alınan teknoloji veya profil fotoğrafları kullanılabilir. Bir şeylerin biraz tuhaf geldiğini hissederseniz, içgüdünüze güvenin ve diğer iletişim kanallarında kontrol edin.
Son olarak, genellikle taleplerini destekleyecek belgeler sunarlar.Bunlar arasında sahte sözleşmeler, yönetim kurulu onayları, teklif veya yetkilendirme mektupları yer alabilir. Bu belgeler ilk bakışta ikna edici görünse de, genellikle ince hatalar, tutarsız biçimlendirme, şüpheli gönderici bilgileri veya olağandışı durumlar içerir.
Bir şeylerin ters gittiğini hissettiğinizde, harekete geçmeden önce Duraklayın (P), Durumu Değerlendirin (A) ve herhangi bir sorunu yöneticinize, liderliğinize veya BT departmanına bildirin (R). PAR, herkesin her zaman hatırlayabileceği basit ve faydalı bir kısaltmadır.
Durumu değerlendirirken, telefonu elinize alın ve zaten kayıtlı olan bir numarayı kullanarak doğrudan ilgili kişiyi arayın. Şüpheli mesajdaki iletişim bilgilerini kullanmayın. Doğrulanmış bir numarayı aramak iki dakika sürer ve şirketinizin binlerce dolar tasarruf etmesini sağlayabilir.
Endişelerinizi bir meslektaşınıza veya BT ekibinize bildirin. Dolandırıcılar, o an kendinizi yalnız hissetmenize güvenirler. Konuşmaya bir başka kişiyi dahil etmek, dinamikleri anında değiştirir. Gerçek yöneticiler, alışılmadık bir isteğe ikinci bir gözün bakmasına itiraz etmezler. İyi şirket kültürleri, bu tür kontrolleri sorgulamak veya çift kontrol yapan kişiyi utandırmak yerine ödüllendirir.
Eğer bir talep sizden normal onay sürecinizi atlamanızı istiyorsa, bu en açık sinyaldir. Banka havaleleri, yeni tedarikçi ödemeleri ve hesap değişikliklerinin hepsinin bir nedeni vardır. Saldırganlar sıklıkla, yavaşlarsanız veya sorunu bildirirseniz ciddi sonuçlar doğacağını iddia ederler. Aciliyetin gerçek olduğuna ve risklerin kişisel olduğuna inanmanızı isterler. Hiçbir gerçek acil durum, onay sürecinizi atlamayı haklı çıkarmaz ve hiçbir gerçek yönetici sizden kendi ekibinizden bir finansal işlemi gizlemenizi istemez.
Bu konuyu ekibinizle konuşmanın en iyi zamanı, olay gerçekleşmeden öncedir. Kimsenin okumayacağı karmaşık 30 sayfalık bir süreç belgesi oluşturmaktan kaçının. Olağandışı finansal taleplerin, kim talep ederse etsin, her zaman telefonla doğrulanması gerektiği konusunda basit ve ortak bir anlayışa ihtiyacınız var.
Personelinizi şu tehlike işaretlerini tanımaları konusunda eğitin: acil talepler için kullanılan kişisel e-posta adresleri veya harici hesaplar, gizlilik talepleri ve derhal harekete geçme baskısı.
Dolandırıcılar hız ve sessizliğe güveniyor. Siz ise iki dakikalık bir telefon görüşmesi ve doğrulamanın her zaman memnuniyetle karşılandığı, teşvik edildiği ve hatta zorunlu tutulduğu bir kültürle onları alt edebilirsiniz.
Bu makaleyi ödemeler, transferler veya tedarikçi talepleriyle ilgilenen ekip üyelerinizle paylaşın. Yukarıda açıklananlara benzer bir mesaj alan herhangi birinin ne yapması gerektiği konusunda beş dakikalık bir görüşme yapın. Birlikte basit bir kural üzerinde anlaşın: Bir yöneticiden gelen acil finansal talepler, işlem yapılmadan önce sesli doğrulama gerektirir. Bunu basit bir politika veya finansal süreç belgesinde kaydedin, ancak basit tutun.
Bu alışkanlık, kuruluşunuzun bugün atabileceği etkili bir adımdır ve en iyi yanı da ek bütçe gerektirmemesidir!
En son siber güvenlik trendlerini, ipuçlarını ve en iyi uygulamaları keşfedin ve paylaşın; ayrıca dikkat etmeniz gereken yeni tehditleri de öğrenin.
Sanal Bilgi Güvenliği Yöneticileri (vCISO'lar) İçin Pratik Bir Özet: GÖZ ARDI ETTİĞİMİZ VEYA ANLAYAMADIĞIMIZ UYARI Yıllarca en güvenilir...
Daha fazla
Üst düzey yönetici kılığına girme dolandırıcılıklarını, sahte CEO'nun gerçek bir para transferi yapmadan önce nasıl tespit edeceğinize dair bir rehber.
Daha fazla
Yapay Zeka (veya YZ), kimlik avı e-postalarını daha akıllı hale getiriyor, kötü amaçlı yazılımları daha sinsi kılıyor ve kimlik bilgilerinin çalınmasını kolaylaştırıyor...
Daha fazlaGeleneksel kimlik avı testlerini geride bırakan pozitif yaklaşımla, insan risklerine karşı daha keskin bakış açısına sahip olun.
