Spear Phishing: „Измамата на шефа“, която е насочена към нови начинаещи

, когато Попи стартира новата си работа като изпълнителен асистент на консултантски клубове на частните членове, първият имейл, който се появи във входящата й поща, носеше името на основния изпълнителен шеф. Като негов помощник това изглеждаше рутинно. Тя бързо стартира да работи върху задачата, която й даде. „ Току -що незабавно скочих върху него “, споделя тя. 

Тя беше помолена да купи дузина карти за дарове на Apple като дарове за клиенти, харчейки повече от 2000 паунда в един от централните си лондонски клонове. „ Това не щракна в действителност, до момента в който не му изпратих известия с картите за дарове и споделих:„ Ето ти “, а той каза„ какви са това? “

Попи е бил жертва на машинация, известна като„ фишинг на копие “. В тази итерация „ мазнините на шефа “ са ориентирани към естествените уязвимости на новите предястия. Измамниците се показват като фигури на престиж, като изискат незабавна помощ за закупуване на карти за дарове като „ лекуване “ за клиенти или чиновници. След като жертвите предават ваучера на измамника, той е оповестен за продажба в тъмната мрежа на понижена цена. Тъй като кохортите на приключилите стартират новите си функции този месец, новите наеми се предизвестяват да бъдат бдителни.

„ Новият началник е човек, който не се питаме. Добавя. " Когато най -накрая започнете роля, вие сте... толкоз признателен... искаш да направиш положително усещане. Искате да действате бързо. "  

измамата играе на психическата неустановеност за започване на нова работа, от неналичието на надеждна мрежа до желанието за осъществяване. „ Когато се помолите да извършите задача [ще кажете]„ да, ще го направя “, без значение какво е тя “, изяснява Картър.

Попи, като е приключил единствено няколко месеца по -рано, споделя, че неопитността й е била „ 100 на 100 “, за какво е била излъгана. „ Никога не бих го направил още веднъж. “

Но по какъв начин измамниците знаеха да я насочат сутринта, тя стартира ролята си?  ; Анализът на връзките е изпиването на данни от платформите за обществени медии, с цел да се схванат човешките връзки или връзки в границите на организацията. Те се насочват изключително към обществени известия или изявления за актуализиране на работата, като този, който Poppy, изработен в нейния LinkedIn акаунт през тази седмица.

„ С разпространяването на огромни езикови модели [измамниците могат] да подражават на човешкото държание, потърсете профилите и връзките на хората и по-късно зад кулисите могат да манипулират тези връзки и да извадят обществена графика “, изяснява Хог.

След като картографират организацията, те употребяват тези връзки, с цел да плячкат на уязвимостите, основани от структурите на престижа. Самият Хог се показва в този вид машинация. Малко след общественото известие, че през 2017 година той е назначен за основен изпълнителен шеф на Aon Cyber ​​Solutions, лъжец, театралничил за него, с цел да се насочи към новия си помощник с молба за ваучери за дарове.

„ Лошите артисти в последна сметка употребяват обстоятелството, че аз съм нов началник в компанията и по този начин нормално, когато хората не желаят да задават въпроси “, споделя той. „ Има натурален боязън, който се случва, преди да опознаят хората, които желаят да изпълнят каквато и да е молбата. “ ;

Предизвикателство за справяне с този вид машинация също се крие в потреблението на ваучери за дарове. Търговецът на Apple, който се оправи с Poppy, възвърне покупката като акт на благосклонност, когато видяха какъв брой разсеяна е измамата. Apple сподели на FT, че чиновниците му са подготвени да разпознават евентуални жертви на машинация и да откажат учтиво продажба, в случай че подозират, че клиентът е жертва.

Но за разлика от измамите, които употребяват средства от личните банкови сметки на жертвите, с цел да вършат покупки, фактът, че жертвите заплащат за самия ваучер, усложнява въпросите според потребителското законодателство. ; 

„ Имате тази стойност и по-късно я прехвърлихте нататък… няма нарушаване на контракта, в случай че желаете, във връзка с закупуването на подаръчната карта. И затова те не биха [задължени] да го възстановят на тази основа. “

, само че би трябвало ли търговците да поемат по -голяма отговорност за отбрана на своите клиенти? Банките рутинно задават въпроси за сигурност, в случай че транзакцията наподобява подозрителна. Може ли търговците на дребно да слагат под въпрос клиентите, които желаят да си купят дузина ваучери с висока стойност? 

Джойс споделя, че би било допустимо да се наложи условие чиновниците на дребно да питат клиентите, които вършат покупки с подобен размер, като да вземем за пример образованието в Apple, само че това ще изисква „ разнообразни подходи за физически тухли и хоросан и онлайн покупки “.

Междувременно Хог споделя, че „ унция предварителна защита коства кг лекуване “. Служителите и работодателите могат да се защитят по доста способи. 

Компаниите могат да предотвратят тези типове измами с ясни инструкции през цялото време, допуска Картър. „ В вашите материали за наемане, кажете:„ Вижте, ние в никакъв случай няма да ви помолим непосредствено да премествате пари за нас или да закупите нещо, без първо да имаме подобаваща среща лице в лице “. “ Това може да предотврати офанзивите, като даде на новите начинаещи ясна пътна карта. 

и в случай че чиновниците са ориентирани, те би трябвало да „ употребяват друг канал “, с цел да ревизират поръчката, споделя Хог. „ Ако индивидът пристигна по телефона, по-късно изпратете имейл като удостоверение или тръгнете по коридора. “ 

Попи отбелязва шанса си да избере да съобщете шефа си на телефонния му номер, вместо компрометирания имейл адрес, което й разрешава да осъзнае, че е била машинация, преди да показа ваучерите с измамника. Но тя не би го предложила като опит от първия ден. „ Сърцето ми просто падна “, споделя тя. " Цялото нещо беше супер стресиращо. "