Spear Phishing Największe zagrożenie bezpieczeństwa dla księgowych, specjalistów podatkowych i przedsiębiorstw

W tym sezonie podatkowym nie skupiaj się tylko na oszczędnościach, ale także bądź bardziej czujny, ponieważ możesz być kolejną ofiarą spear phishingu. Cyberprzestępcy wykorzystują naszą koncentrację na oszczędzaniu podatków i naszą nadzieję na odzyskanie pieniędzy od rządu.

Atakujący wysyłają e-mail do pracowników, przekonująco naśladując adres e-mail prezesa firmy, prosząc ich o udostępnienie formularza W-2 pracowników. Daje to atakującym dostęp do danych osobowych pracowników, pomagając im w składaniu fałszywych zwrotów i uzyskiwaniu zwrotów.

Jeśli mieszkasz w Wielkiej Brytanii, możesz zobaczyć ataki phishingowe podszywające się pod HM Revenue & Customs, obiecujące zwrot pieniędzy. Klikając w link obecny w mailu, przekieruje Cię do legalnej witryny z pytaniem o Twoje imię i nazwisko, adres, telefon, dane karty kredytowej, nazwisko panieńskie matki oraz numery identyfikacyjne. W ten sposób dając atakującym dostęp do wszystkich poufnych informacji, co prowadzi do pełnej kradzieży tożsamości.

Zobacz też:  Gmail to najnowsza ofiara ataków phishingowych!

Podobne przynęty odnotowano we Francji, Australii i Ameryce.

Wiele firm i ich pracowników pada ofiarą tego ataku typu spear phishing. Nakłania pracownika z działu HR lub finansów do wysłania formularza W-2 firmy do dyrektora generalnego lub starszego menedżera, który prosi o formularz wyjaśniając, że jest to spowodowane jakimś kryzysem finansowym.

Formularz W-2s

Co to jest formularz W-2?

Formularz W-2s jest federalnym formularzem podatkowym Stanów Zjednoczonych wydawanym przez pracodawców, stwierdzającym, ile podatku pracownik płaci w ciągu roku. Zawiera imię i nazwisko pracownika, numery SSN i ​​inne poufne dane. Nazywa się to również zwrotem informacyjnym.

Dostęp do tych danych ma wyłącznie upoważniony personel, dział kadr lub finansów.

Co to jest spear phishing?

Spear phishing to atak polegający na fałszowaniu wiadomości e-mail, którego celem są określone organizacje lub osoby, które chcą uzyskać dostęp do poufnych informacji. Wykorzystuje sprytne taktyki, aby zwrócić uwagę ofiar, takie jak: podszywanie się, techniki obejścia kontroli dostępu.

Jak działa spear phishing?

Spear phishing koncentruje się na wybranych osobach lub pracownikach. W większości przypadków napastnicy nie muszą dużo pracować, ponieważ większość firm zamieszcza imię i nazwisko, stanowisko oraz adres e-mail swojej kadry kierowniczej, dostęp do danych staje się łatwiejszy. W ten sposób okazuje się skarbnicą dla złoczyńców, którzy mogą wysyłać wiadomości phishingowe i podszywać się pod osobę.

Zobacz też:  Cyberzagrożenia, które będą się rozwijać w nadchodzących latach!

Obrona przed spear phishingiem

Każda forma phishingu ostatecznie prowadzi do naruszenia poufnych danych. Jeśli zostanie zignorowana, firma będzie świadkiem naruszenia danych, kradzieży tożsamości. Niewiele godnych uwagi incydentów, w których firmy straciły miliony dolarów i muszą naruszyć dane klientów, to: JP Morgan, Home Depot i Target.

Atakujący nie tylko atakują duże firmy, ale także skupiają się na małych i średnich firmach. Małe firmy mają mniej infrastruktury bezpieczeństwa ze względu na mniejszą liczbę pracowników, dlatego łatwo można je namierzyć.

Ponieważ poczta e-mail jest najpopularniejszym środkiem komunikacji w organizacjach, ważne jest, aby zabezpieczyć ją przed prawdopodobnymi atakami typu spear phishing. Pracownikom należy zapewnić edukację w zakresie zwalczania różnych technik phishingowych.

Powinni wiedzieć, jak odróżnić pocztę prawdziwą od poczty phishingowej.

Oto kilka wskazówek, które mogą chronić Ciebie i innych przed tym oszustwem:

1. Pierwszą i najczęstszą rzeczą, jaką można zauważyć w podejrzanej wiadomości e-mail, jest błędna pisownia, dziwne słownictwo.

1. Powinna istnieć silna sieć bezpieczeństwa, aby nikt nie mógł jej ominąć.
2. Jeśli otrzymasz wiadomość e-mail z prośbą o podanie informacji poufnych, najpierw potwierdź ją, kontaktując się z osobą, która rzekomo żąda tych informacji. Nigdy nie próbuj kontaktować się z tą osobą za pośrednictwem numeru telefonu lub adresu e-mail podanego w podejrzanej wiadomości. Zamiast tego sprawdź to samo z zaufanym źródłem.
3. Czy nie dzielić / wysyłania poufnych informacji za pośrednictwem niezaszyfrowanej poczty elektronicznej.
4. Złóż zeznania podatkowe i nie zapisuj danych na swoim komputerze.
5. Nie zapisuj nazwy użytkownika ani hasła w publicznych/oficjalnych systemach.
6. Wreszcie pomyśl, zanim klikniesz!