网络骗局的招数,让人防不胜防。

08-16 15:24

媒体经常提到错误的信息,通常是在政治背景下,与假新闻相比。虽然这是一个严重的问题,但一个更大、更个人化的风险普遍被忽视:网络犯罪分子是如何利用虚假信息从单位和个人那里盗窃的?


虚假信息的定义之一是:“虚假或不准确的信息,尤其是故意欺骗的信息。”然而,当虚假信息与大量真实准确的信息混合在一起时,特别是当只有少数人知道的信息混合在一起时,它可能是最有效和欺骗性的。犯罪分子可以利用黑客攻击窃取真实信息,将其与少量虚假信息混合,给企业和个人带来巨大的财务影响。


我举几个例子。因为这些情况特别敏感,受影响的公司只同意在匿名条件下向我解释这种情况。这是一个普遍的要求,也是为什么人们认为公开报道的黑客攻击只占实际黑客攻击的一小部分。


运用电汇


我们大多数人都听说过盗取信用卡号码的骗局。在许多情况下,你可以质疑或取消不当的信用卡费用,所以你最终不会失去任何钱。然而,电汇有一个关键的区别:电汇通常实时到达,不能取消。换句话说,一旦使用了电汇,钱就会消失,尤其是在这种欺骗行为没有立即被发现的情况下。网络犯罪分子已经以各种方式使用了这一特点。


一个例子是罪犯进入一家公司的计算机软件,然后花时间阅读电子邮件,了解内部程序。罪犯知道哪些官员有权向财务办公室发出电汇指令,以及程序是什么。然后,他们打扮成这些官员,在几天内逐一发出电汇指令,将资金汇入罪犯的账户,其中一些超过了金额。 50 万美金。


在意识到这个昂贵的问题后,我采访的一家公司制定了一个程序,要求检查这种电汇是否真的由授权人员申请。这包括直接打电话给授权人,核实交易细节。不幸的是,这种合理的程序通常在犯罪发生后才能实施。


不仅仅是公司可能因为电汇诈骗而赔钱。高级住宅买家也是一个受欢迎的目标。在大多数买房交易中,一个关键步骤是通过电汇将大量资金转移到产权公司或第三方存管公司。公司将拥有这些资金,直到房地产的产权转移到新业主手中,然后——只有在那个时候——第三方存管公司才会将这些资金转移给卖家。


在这种情况下,犯罪分子会利用一个多步骤的过程来获得他们的利益。第一,他们闯入了房地产经纪人、律师或产权代理人的计算机软件。他们可能需要几个星期甚至几个月的时间来了解即将到来的交易、公司的业务程序以及包括电汇指令样本在内的各种细节。由于在最后一刻可能会出现复杂的情况,购房者通常会被建议提前一两天进行电汇。一般情况下,产权企业会提前一天发出指令,所以网络犯罪分子会提前两天发出指令。这一指令似乎来自于产权公司,因为它是基于真正的指令,但是目的地信息被篡改了。它们只是在一批真实的信息中隐藏了一点虚假的信息。


一年之内以这种方式被盗的资金有上亿美元。事实上,根据联邦调查局的数据,2020年 每年都有房地产行业和租赁行业 13000 许多人成为电汇诈骗的受害者,损失超过 2.13 亿美元-自我 2017 从年开始,数量增加了 380%。你可能会发现自己处于这样一种情况:你卖掉了以前的房子,用你收到的现金和存款在不同的城市买了一套更新更好的房子。您可能正在半路开车前往新城,准备第二天搬进新家,此时您接到房地产经纪人的电话,询问您的支付在哪里。经过多次疯狂的电话,你意识到你的钱被盗了,你现在无家可归,一无所有。


个体和企业可以采取各种措施来降低通过电汇实施网络诈骗的风险。第一,在电汇之前,总是要通过电话和应该收钱的人来确定电汇指令。但是,你必须确保你能确认你真的在和正确的对象打电话——罪犯可能会在你收到的指令中包含一个假联系电话,所以你必须使用官方网站提前检查正确的号码,或者直接和一个能检查正确数据的熟悉的人交谈。


盗取工资


许多企业提供的系统允许员工维护和更新他们的个人信息,例如地址、电话和银行账户信息,以便直接存入他们的月薪。在支付工资的前一天,犯罪分子闯入了一些高薪员工的账户,更改了银行账户信息。接着,第二天,他们又把银行信息改回了正常状态,所以没有人会发现任何问题。在一位高管收到支票资金短缺的通知之前,他们已经连续几个月使用了这种伎俩,并意识到他的银行没有收到每月应该收到的钱。(我认为这些高管也没有每月检查他们的银行账户余额!)。为了发现异常或错误的活动,特别是要确定预期存款正在存入,这表明定期检查您的银行账户的重要性。


欺骗员工帮助“老板”


大多数人都听说过这样一个经典的骗术:企业首席执行官(CEO)要求首席财务官(CFO)把钱送到某个地方。假如你没有 CEO,你们也许会认为这样的骗术和你们做什么,但事实并非如此。


这种欺骗的一种形式在大学校园里特别流行,那就是让一个工作人员收到一封看似来自上级的电子邮件,一般来自部门主任。工作人员会被告知这样一个故事:“我只是意识到我今晚要去参加侄子的生日聚会,我要整天开会,所以我没有时间买礼物。你们能不能帮我一个小忙,买一个? 100 美金礼品卡,然后用电子邮件把背上的数字发给我?”“正如受害者所感慨的那样:“这不只是我的一个同事,而是以我的系主任的名义来的。“在我听说的一个案例中,有一个系每个系。 10 名师中有名师 8 人们被骗了。总而言之,检查信息是否真的来自你的老板很重要。


小心为什么很重要?


这一切的关键点在于,虽然以假新闻的形式出现的虚假信息是一个问题,但是将大量的真实信息和一点点的虚假信息混合在一起,可能会产生致命的结果。以上例子只是最近的一些例子。如前所述,我们可以采取一些措施来消除这类犯罪,或者至少大大减少这类犯罪,但这些程序和预防措施现在需要落实到位,而不是犯罪后。


但是,请注意,网络犯罪分子创造力惊人,通常对你有很多信息。更多狡猾的伎俩可能会向我们走来。因此,了解新的阴谋,谨慎谨慎,采取预防措施是非常重要的。


斯图尔特 · 马德尼克(Stuart Madnick)| 文


斯图尔特•马德尼克是麻省理工学院斯隆管理学院信息技术约翰•诺里斯•教授马奎尔(1960)(Norris Maguire (1960) Professor),麻省理工学院工程系统学教授,以及麻省理工学院斯隆学院网络安全联盟主任:跨学科联盟,改善关键基础设施网络安全(the Interdisciplinary Consortium for Improving Critical Infrastructure Cybersecurity)。自 1979 每年与人合作的《计算机安全》(Computer Security)一本书至今,他一直活跃在网络安全领域。


时青靖 | 编辑


本文仅代表作者观点,版权归原创者所有,如需转载请在文中注明来源及作者名字。

免责声明:本文系转载编辑文章,仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布,请及时与我们联系进行审核处理或删除,您可以发送材料至邮箱:service@tojoy.com