TIP#1275: Co je to CEO fraud?

Už někdy v roce 2017 se na JustIT.cz objevil článek 2.3 miliardy dolarů ztraceno přes e-maily vydávající se za vašeho šéfa popisující téma napsané v titulku. CEO fraud je označení pro podvody založené na cíleném poslání e-mailů s pokynem k platbě. Ať už přímo kompletně falešném, nebo využívajícím existující fakturu, ale s pozměněným číslem účtu.

Jde o klasický phishing (rhybaření) v jeho extra cílené variantě spear phishing a sociální inženýrství. Útočník si zpravidla zjistí dostatek informací o tom jak oslovit nějakou firmu a poté podvrhne e-mail – ten může obsahovat fakturu, ale také prostý pokyn finančního (či jiného výše postaveného) ředitele k vyplacení peněz na účet. Spoléhá se na to, že oslovená osoba (účetní, finanční ředitel, atd) je natolik hloupá, že si tento požadavek neověří. A také na to, že ve firmě nemají žádné kontrolní mechanismy a schvalovací procesy, které to znemožní.

Pokud vám snad výše popsané připadá jako nemožný, tak se mýlíte. Těžko se to představuje, ale Mattel takto vyplatil tři miliony dolarů, Ubiquiti dokonce skoro 550 milionů dolarů. Průměrné výše škod jsou mezi 25 až 75 tisíci dolarů. Chcete-li český příklad, tak třeba viz roky staré Podvodník posílá falešné faktury Metrostavu, od firem žádá miliony

TIP: K e-mailu je dobré si přečíst Jak zabezpečit a bezpečně pracovat s e-mailem?.

Pro ověřování pravosti mailů se může hodit Co je to hlavička e-mailu, jak ji mohu získat a k čemu je to dobré? a Jak je možné, že někdo může falšovat odesílatele e-mailu?

Vedle podvržených e-mailů se využívají i pokročilejší možnost, získání přístupu do e-mailu lidí ve firmě. Útočník si tím jistí to, že by se oslovený člověk chtěl v odpovědi chtít potvrzení pokynu. Což vede i k tomu, že kontrolní mechanismy týkající se placení nemohou být založený na tom, že se něco prostě jenom potvrzuje e-maily. Prostě starý dobrý papír a podpis je tou nejlepší obranou. A nezapomenout na ověření čísla účtu.