چگونه از استارتاپ خود در برابر کلاهبرداری های ایمیلی محافظت کنیم

شناسهٔ خبر: 651088 - تاریخ: جولای 13, 2024

علیرغم سال‌ها ادعا مبنی بر اینکه «مرگ ایمیل» به سرعت نزدیک می‌شود، روش ارتباطی ده‌ها ساله همچنان در تجارت به رونق خود ادامه می‌دهد. به طور خاص، تجارت هک.

ایمیلی که حاوی لینکی است که به نظر قانونی می رسد اما در واقع مخرب است، یکی از خطرناک ترین و در عین حال موفق ترین ترفندها در کتاب راهنمای مجرمان سایبری است و منجر به برخی از بزرگترین هک ها در سال های اخیر شده است، از جمله نقض غول ارتباطی Twilio در سال 2022 و هک سال گذشته. پلت فرم رسانه های اجتماعی Reddit.

در حالی که شناسایی این ایمیل‌ها گاهی آسان است، چه به دلیل املای نامناسب یا یک آدرس ایمیل غیرمعمول، شناسایی یک ایمیل مبهم از یک ایمیل قانونی با پیچیده‌تر شدن تاکتیک‌های هکرها به طور فزاینده‌ای دشوار می‌شود.

به عنوان مثال، به خطر انداختن ایمیل تجاری (یا BEC)، نوعی حمله از طریق ایمیل که سازمان‌های بزرگ و کوچک را با هدف سرقت پول، اطلاعات مهم یا هر دو هدف قرار می‌دهد. در این نوع کلاهبرداری، هکرها با جعل هویت شخصی آشنا به قربانی، مانند همکار، رئیس یا شریک تجاری، آنها را برای افشای ناآگاهانه اطلاعات حساس دستکاری می کنند.

خطری که این امر برای کسب‌وکارها، به‌ویژه استارت‌آپ‌ها ایجاد می‌کند، قابل اغراق نیست. طبق آخرین داده های FBI، افراد در ایالات متحده تنها در سال گذشته نزدیک به 3 میلیارد دلار در کلاهبرداری های BEC ضرر کرده اند. و این حملات هیچ نشانه ای از کاهش سرعت را نشان نمی دهند.

چگونه یک کلاهبرداری در معرض خطر ایمیل تجاری را تشخیص دهیم

به دنبال علائم هشدار دهنده باشید

در حالی که مجرمان سایبری در تاکتیک‌های ارسال ایمیل پیشرفته‌تر شده‌اند، برخی از پرچم‌های قرمز ساده وجود دارند که می‌توانید - و باید - مراقب آنها باشید. این شامل ایمیلی است که خارج از ساعات کاری معمولی ارسال شده است، نام‌های غلط املایی، عدم تطابق بین آدرس ایمیل فرستنده و آدرس پاسخ، پیوندها و پیوست‌های غیرمعمول، یا احساس فوریت غیرقابل توجیه.

مستقیماً با فرستنده تماس بگیرید

استفاده از spear phishing - که در آن هکرها از ایمیل‌های فیشینگ شخصی‌سازی شده برای جعل هویت مدیران سطح بالا در یک شرکت یا فروشندگان خارجی استفاده می‌کنند - به این معنی است که تشخیص اینکه آیا یک پیام از منبع قابل اعتمادی رسیده است یا خیر، تقریبا غیرممکن است. اگر ایمیلی غیرعادی به نظر می رسد - یا حتی اگر اینطور نیست - به جای پاسخ دادن از طریق هر ایمیل یا هر شماره تلفنی که در ایمیل ارائه شده است، مستقیماً با فرستنده تماس بگیرید تا درخواست را تأیید کنید.

با افراد IT خود چک کنید

کلاهبرداری های پشتیبانی فنی به طور فزاینده ای رایج می شوند. در سال 2022، مشتریان Okta هدف یک کلاهبرداری بسیار پیچیده قرار گرفتند که در آن مهاجمان پیام‌های متنی با پیوندهایی به سایت‌های فیشینگ برای کارکنان ارسال می‌کردند که ظاهر و احساس صفحات ورود Okta کارفرمایان آنها را تقلید می‌ کرد. این صفحات ورود بسیار شبیه به معامله واقعی بودند که بیش از 10000 نفر اعتبار کاری خود را ارسال کردند. به احتمال زیاد، بخش فناوری اطلاعات شما از طریق پیامک با شما تماس نخواهد گرفت، پس اگر یک پیام متنی تصادفی یا یک اعلان غیرمنتظره در دستگاه خود دریافت کردید، مهم است که تحلیل کنید که آیا قانونی است یا خیر.

مراقب تماس های تلفنی (حتی بیشتر) باشید

مجرمان سایبری مدت‌هاست که از ایمیل به عنوان سلاح انتخابی خود استفاده می‌کنند. اخیراً، مجرمان برای هک کردن سازمان ها به تماس های تلفنی تقلبی متکی هستند. طبق گزارش ها، یک تماس تلفنی منجر به هک هتل های زنجیره ای MGM Resorts در سال گذشته شد، پس از اینکه هکرها با موفقیت میز خدمات شرکت را فریب دادند و به آنها اجازه دسترسی به حساب یک کارمند را دادند. همیشه نسبت به تماس‌های غیرمنتظره شک داشته باشید، حتی اگر از یک تماس با ظاهر قانونی باشد، و هرگز اطلاعات محرمانه را از طریق تلفن به اشتراک نگذارید.

همه چیز چند عاملی!

احراز هویت چند عاملی - که معمولاً برای ورود به سیستم به همراه نام کاربری و رمز عبور تنظیم کننده شما به یک کد، پین یا اثر انگشت نیاز دارد - به هیچ وجه بی خطا نیست. با این حال، با گفت ن یک لایه امنیتی اضافی فراتر از رمزهای عبور مستعد هک، دسترسی مجرمان سایبری به حساب های ایمیل شما را بسیار دشوارتر می کند. با استفاده از فناوری بدون رمز عبور، مانند کلیدهای امنیتی سخت افزاری و کلیدهای عبور، که می تواند از سرقت رمز عبور و رمز جلسه در اثر بدافزار سرقت اطلاعات جلوگیری کند، حتی یک گام امنیتی بیشتر بردارید.

اجرای فرآیندهای پرداخت سخت گیرانه تر

با هر نوع حمله سایبری، هدف نهایی یک جنایتکار کسب درآمد است و موفقیت کلاهبرداری های BEC اغلب به دستکاری یک کارمند منفرد برای ارسال حواله سیمی بستگی دارد. برخی از هکرهای با انگیزه مالی وانمود می کنند که فروشنده ای هستند که برای خدمات انجام شده برای شرکت درخواست پرداخت می کنند. برای کاهش خطر قربانی شدن این نوع از کلاهبرداری ایمیلی، فرآیندهای پرداخت سختگیرانه را اجرا کنید: یک پروتکل برای تأیید پرداخت ایجاد کنید، از کارکنان بخواهید که انتقال پول را از طریق یک رسانه ارتباطی دوم تأیید کنند، و به تیم مالی خود بگویید که هر بانکی را دوباره تحلیل کند. جزئیات حساب تغییر می کند.

شما همچنین می توانید آن را نادیده بگیرید

در نهایت، شما می توانید با نادیده گرفتن تلاش و ادامه دادن، خطر ابتلا به اکثر کلاهبرداری های BEC را به حداقل برسانید. 100% مطمئن نیستید که رئیس شما واقعاً از شما می خواهد که بیرون بروید و کارت های هدیه 500 دلاری بخرید؟ بیخیالش! تماسی دریافت می کنید که انتظارش را نداشتید؟ تلفن را قطع کن! اما به خاطر تیم امنیتی و کمک به همکارانتان، ساکت ننشینید. تلاش را به محل کار یا بخش IT خود گزارش دهید تا آنها بتوانند در حالت آماده باش بالاتر باشند.