Ferier bringer en stigning i phishing-svindel rettet mod små virksomheder
I denne 8. okt. 2019, filbillede en kvinde taster på et tastatur i New York. Phishing-svindel, der inficerer en computer og potentielt tillader hackere at invadere bankkonti og andre konti, kan i høj grad forebygges, men det kræver evig årvågenhed fra computerbrugernes side. (AP Photo/Jenny Kane, Fil)
E-mailen så legitim ud, så Danielle Radin klikkede på linket, det indeholdt, forventer at få sine produkter inkluderet i en julegaveguide.
"Jeg fortrød det øjeblikkeligt, " siger Radin, ejer af Mantra Magnets, en hjemmeside, der sælger wellness-produkter. "Det tog mig til en tilfældig hjemmeside, der lignede de pop-ups, der fortæller dig, at du har vundet i lotteriet."
Inden for få dage efter det klik for tre uger siden, Radin begyndte at få meddelelser om, at folk i Ecuador, Kina og andre steder forsøgte at få adgang til hendes e-mail-konto. Hun var ikke overrasket; hun vidste, at hendes San Diego-baserede lille virksomhed havde været udsat for et phishing-svindel.
Mens cyberkriminelle strejker når som helst på året, de er særligt aktive i ferie- og indkomstskatte-sæsonen, hvor computerbrugere forventer at se flere e-mails – og svindlere retter sig i stigende grad mod individuelle små virksomheder med phishing-svindel, at sende beskeder, der ser legitime ud, men i stedet gør skade. En intetanende ejer eller medarbejder klikker på et link eller en vedhæftet fil og finder ligesom Radin ud af, at ondsindet software har invaderet deres pc'er.
Cybersikkerhedseksperter finder, at kriminelle, der plejede at dække tusindvis af computerbrugere i håb om at narre en håndfuld, har forfinet deres metoder. Svindlere finder små virksomheder gennem websteder, sociale medier og ved at finkæmme e-mailadressebøger. De miner også personlige data fra brud hos forhandlere og andre store virksomheder. Derefter, ved hjælp af en proces kaldet social engineering, de konstruerer e-mails, der i stigende grad ser realistiske ud, som om de virkelig kommer fra en chef, kollega, ven, potentiel kunde eller sælger, en bank og endda IRS.
"I det sidste år eller to har de kørt mere professionelle kampagner, " siger Perry Toone, ejer af Thexyz, en e-mail-tjenesteudbyder baseret i Toronto. "Det kan tage et par minutter for mig at fastslå, at de er phishing-svindel. Det fortæller mig, at de gør et meget godt stykke arbejde."
Radin mener, at svindlerne fandt hende gennem hendes hjemmeside eller en blog. Ligesom mange små virksomheder, hun har en e-mailadresse på sit websted, og svindlerne fandt ud af, at hun kunne være interesseret i at sælge via en julegaveguide. Men at finde et mål er én ting; fidusen virker ikke, medmindre den narrer en e-mail-modtager til at klikke. Selv dem, der er teknisk kyndige, kan nogle gange svigte deres vagt. Radin blev narret, selvom hun er forfatteren til "Everyone's Been Hacked, "en bog, der sælges online.
Ofte lykkes et svindelnummer, fordi der kun er en smule tvivl hos en computerbruger – e-mailen er realistisk nok til, at en ejer eller medarbejder føler, at de skal læse den. Nogle gange klikker en medarbejder af frygt eller ansvarsfølelse, siger Rahul Telang, en professor i informationssystemer ved Carnegie Mellon University's Heinz College.
"Det lyder måske ikke særlig personligt, men du har en idé om, at du skal gå videre - du føler, at e-mailen kommer fra chefen, " han siger.
På dette udaterede billede leveret af Danielle Radin, Radin poserer til et billede. Mens cyberkriminelle strejker når som helst på året, de er særligt aktive i ferie- og indkomstskatte-sæsonen, hvor computerbrugere forventer at se flere e-mails, og svindlere retter sig i stigende grad mod individuelle små virksomheder med phishing-svindel, at sende beskeder, der ser legitime ud, men i stedet gør skade. En intetanende ejer eller medarbejder klikker på et link eller en vedhæftet fil og finder ligesom Radin ud af, at ondsindet software har invaderet deres pc'er. (Danielle Radin via AP)
Computerbrugere kigger måske ikke så nøje på en e-mail, som de burde – der kan være subtile tegn på, at en besked er problemer. Terry Cole, ejer af Cole Informatics, en virksomhed, hvis arbejde omfatter cybersikkerhed, husker at få en e-mail, der virkelig så ud til at være fra en kollega. Han var en af flere personer i branchen, der modtog det.
"Den stod, at denne kollega havde sendt mig en sikker privat besked, som var klar til at læse, og inkluderede et link til at klikke på. Dette var helt i overensstemmelse med mine normale oplevelser med at kommunikere med ham, " siger Cole, hvis virksomhed er beliggende i Parsons, Tennessee.
Cole gjorde ikke i det tilfælde, hvad han plejer og råder alle til at gøre:Tjek e-mail-adressen for at være sikker på, at den er fuldstændig korrekt. Da han klikkede på linket, det tog ham til en falsk hjemmeside, der hævdede at være forbundet med Microsoft og bad ham om hans ID og adgangskode. Han gik ikke længere og led ingen skade på sin pc.
Ferien giver svindlere ekstra muligheder:e-mailede lykønskningskort, meddelelser om pakkeforsendelse, tilbud om rabatter - alle falske. Cyberkriminelle søger også personlige oplysninger fra ejere og ansatte under dække af, at de har brug for dem til at oprette en W-2 eller 1099 skatteformular; på denne tid af året, virksomhedsejeres tanker går til skatter.
"Noget, der hævder at kende dig, dit navn, hvor du arbejder og vil have dig til at handle, er sværere at få øje på, " siger Sherrod DeGrippo, seniordirektør for trusselsforskning og detektion hos Proofpoint, en cybersikkerhedsvirksomhed baseret i Sunnyvale, Californien.
Et almindeligt fupnummer i ferietiden er en e-mail, der angiveligt kommer fra chefen, der fortæller en medarbejder, at han skal købe gavekort og sende numrene tilbage, DeGrippo siger.
"Når det ser ud til at komme fra en chef eller administrerende direktør, Jeg tror, der er den tendens blandt medarbejderne til at følge de anvisninger. De spiller på deres følelser, " hun siger.
Tit, et svindelnummer lykkes med at få en medarbejder til at klikke på en personlig e-mail, mens de er på en virksomheds pc - mange medarbejdere tjekker deres personlige e-mail, mens de er på arbejde. Selvom mailen kom igennem på en personlig besked, det er virksomhedens maskine, der kan blive inficeret.
Virksomheder kan beskytte sig selv delvist ved at begrænse medarbejdernes adgang til personlige e-mail-websteder, siger Telang. Han foreslår også seminarer for at hjælpe medarbejderne til at forstå de risici, som selv legitime e-mails kan udgøre.
Nogle af svindelnumrene sigter mod at overvåge en brugers tastetryk. Så enhver, der får adgang til en virksomhed eller en personlig konto af enhver art, kan give en kriminel adgang til deres penge eller følsomme personlige data. Et værktøj til at forhindre en bankkonto i at blive tømt eller et kreditkort maks. er at have konti med multifaktorgodkendelse; der kræver en adgangskode og en separat kode sendt til en anden enhed, og som er forskellig for hvert login.
© 2019 The Associated Press. Alle rettigheder forbeholdes.
Varme artikler
-
Robotter kan lære meget af naturen, hvis de vil se verdenSe gennem robotøjne. Kredit:Shutterstock/TrifonenkoIvan Vision er en af naturens fantastiske kreationer, der har været med os i hundreder af millioner af år. Det er en nøglesans for mennesker, m -
Twitter, Pinterest slår ned på vælgerens misinformationDenne 26. april, 2017, filbillede viser Twitter-app-ikonet på en mobiltelefon i Philadelphia. Twitter og Pinterest tager nye skridt for at udrydde misinformation om afstemninger designet til at undert -
En ny halvleder nanofiber kunne i høj grad øge effektiviteten af solcellerDet stærkt ledende nanomateriale har en bred vifte af applikationer. Når det bruges i en luftrenser, det giver agrafen supermotorvej for hurtigere elektrontransport, muliggør mere effektiv fjernelse a -
Slovensk flag luftfartsselskab suspenderer flyvninger i kontantkriseDet er på grund af den nuværende mangel på friske penge Det slovenske flagflyselskab Adria Airways suspenderede tirsdag alle sine flyvninger på grund af likviditetsproblemer, men sagde, at intensi