7 etapas para minimizar a fraude no ceo e a falsificação de identidade

No começo, o pedido de amizade do Facebook parecia perfeitamente normal, mas então percebi que esse amigo, que eu conheço desde o ensino médio, já estava conectado comigo no Facebook. Então, olhei o perfil mais de perto e ficou claro que isso era uma representação. Então, mandei uma mensagem para minha amiga perguntando se ela havia enviado a nova solicitação e ela respondeu que não, acrescentando que alguém havia recentemente tentado usar seu cartão de crédito para comprar alguns itens da Amazon. Felizmente, ela substituiu o cartão em particular para não perder dinheiro, mas claramente estava sendo alvo de um ladrão de identidade. Sugeri que ela chamasse a polícia para denunciar.

O que estava acontecendo com meu amigo é um conjunto bastante típico de eventos que acontecem nos estágios iniciais do roubo de identidade. Embora esse esforço tenha sido frustrado, a maioria das pessoas não teria descoberto tão rapidamente. Em vez disso, examinando as finanças da vítima e assumindo sua identidade nas mídias sociais, eles esperam coletar informações pessoais suficientes para poder representá-las em um ambiente de negócios em que as comunicações acontecem por email.

O processo funciona quando o criminoso passa pela organização, subindo constantemente a fila até que a pessoa consiga aparecer como funcionário sênior. Freqüentemente, o objetivo final é roubar a identidade do CEO. Em seguida, o criminoso usa o email pessoal para abrir as comunicações com os funcionários que têm acesso a informações corporativas críticas, como finanças e propriedade intelectual (IP). Para parecer legítimo, ele pode fazer referências a eventos de trabalho específicos futuros, a uma reunião recente ou a um evento semelhante ao qual o alvo compareceu, ao qual o ladrão de identidade colheu as mídias sociais.

Quando um funcionário está convencido de que o criminoso é quem ele está fingindo ser, os pedidos começam. Geralmente, eles são pequenos no início, como pedir um item para o escritório. Mas então eles se tornam maiores e mais exigentes. Eventualmente, o criminoso está pedindo quantias substanciais de dinheiro ou, talvez, que determinado IP, como desenhos ou especificações, seja enviado para um endereço de terceiros.

Tentativas de fraude do CEO estão em ascensão

Esses esquemas podem parecer absurdos, mas são a base da "Fraude do CEO", que está acontecendo com uma regularidade deprimente. Os funcionários da empresa de treinamento em segurança KnowBe4 relatam um golpe desse tipo, no qual um funcionário foi enviado correndo pela cidade em busca de 20 cartões-presente da Apple iTunes, cada um valendo US $ 100, ostensivamente para enviar aos clientes.

Mas os exemplos pioram e, em alguns casos, centenas de milhares de dólares foram transferidos para contas bancárias no exterior depois que um criminoso que fingia ser o CEO de uma empresa fez essa solicitação a um departamento de contabilidade particularmente ingênuo. Embora esse processo funcione como qualquer número de fraudes de confiança, há etapas que um departamento de TI pode executar para minimizar as chances de isso acontecer com sua organização.

7 etapas para minimizar a fraude do CEO

Essas etapas incluem dizer à sua equipe que essas tentativas são possíveis, descrever as formas que serão executadas e informar que a equipe de segurança da empresa está pronta para ajudar. Também é uma boa ideia criar um conjunto de regras que os funcionários devem seguir em relação à resposta e aos relatórios. Aqui estão algumas sugestões para CEOs e outros gerentes seniores:

Envie um e-mail a todos os funcionários para que eles saibam que os funcionários estão sendo direcionados por bandidos que desejam ingressar em uma organização. Diga a eles que eles devem estar cientes das tentativas de roubo de identidade, incluindo impostores que aparecem nas redes sociais.

Solicitar que os funcionários informem a equipe de segurança quando suspeitarem que estão sendo abordados por ladrões de identidade; isso inclui tentativas de roubar números de cartão de crédito. Mesmo se a tentativa for apenas um skimmer, sua equipe gostará de saber que você está disposto a ajudar.

Preste atenção nos padrões. Se você começar a ver um aumento nas tentativas de roubo de identidade contra seus funcionários, é um sinal de que você pode ser o verdadeiro alvo. Avise seus funcionários.

Configure algumas coisas específicas que você nunca solicitará que seus funcionários façam. Isso pode incluir a compra de cartões-presente, solicitando que eles tomem qualquer tipo de ação oficial com base em um email enviado por uma conta pessoal ou solicitando que enviem fundos por IP ou IP a terceiros com base em uma solicitação por email enviada por email pessoal.

Proteja as informações pessoais de contato, incluindo o endereço físico, o endereço de e-mail pessoal e os números de telefone pessoais de seus funcionários para dificultar a segmentação por ladrões.

Examine periodicamente as contas de mídia social de seus funcionários em busca de sinais de que alguém está se passando por eles. Isso apareceria como uma segunda conta com o nome e, geralmente, a foto. Embora o funcionário possa ter duas contas por um motivo, como uma para uso pessoal e outra para uso comercial, você deve solicitá-las.

Depois de fazer as regras, cumpra-as você mesmo. Se você realmente precisar de 100 cartões do iTunes, faça o pedido na Apple usando as regras apropriadas fornecidas pelo departamento de compras da sua organização.

• As melhores soluções de gerenciamento de identidades para 2019 As melhores soluções de gerenciamento de identidades para 2019
• Você realmente precisa pagar por um serviço de proteção contra roubo de identidade? Você realmente precisa pagar por um serviço de proteção contra roubo de identidade?
• Para parar de phishing, o Google deu chaves de segurança a todos os funcionários Para parar de phishing, o Google deu chaves de segurança a todos os funcionários

Seja roubo de identidade ou simplesmente falsificação de identidade, essas atividades costumam ser os primeiros estágios de um ataque de phishing, porque os invasores precisam de informações suficientes para fazer com que suas mensagens pareçam credíveis. Os ataques de phishing são o método mais bem-sucedido por trás das violações de dados, porque se sobrepõem à simples negligência do usuário. Interromper os ataques antes que eles aconteçam significa que você pode salvar sua organização dos custos significativos associados a uma violação de dados.

E não pense que isso não vai acontecer com a sua empresa porque é muito pequena. Independentemente do tamanho, a maioria das organizações possui pontos de valor mínimo que esses tipos de criminosos estão buscando: dinheiro e acesso a outras empresas.