Facebook And Google Fall Victims To A $100M Phishing Scam

Facebook and Google were the victims of a $100M phishing scam. Menurut Departemen Kehakiman, alamat email, faktur, dan perangko korporat yang dipalsukan untuk meniru produsen berbasis Asia yang besar dengan siapa perusahaan teknologi tersebut secara rutin melakukan bisnis. Intinya adalah mengelabui perusahaan agar membayar persediaan komputer. Pakar keamanan TI dari AlienVault, ESET, Tripwire, Comparitech.com dan FireMon berkomentar di bawah ini.

Javvad Malik, Security Advocate at AlienVault:

"Kecurangan CEO / CFO, adalah saat CFO mengirimkan email phishing yang mengaku berasal dari CEO yang meminta mereka segera mentransfer sejumlah uang ke pihak ketiga.

Konsep pencurian ini identik, meski pada tingkat yang jauh lebih tinggi, dengan lebih banyak lagi pekerjaan mendasar yang dilakukan sebelumnya.

Oleh karena itu, tidak terduga bahwa banyak strategi mitigasi akan serupa di alam, ini mencakup, identifikasi dan proses verifikasi pihak ketiga yang lebih baik, otorisasi pembayaran yang lebih ketat, dan tidak semata-mata mengandalkan email sebagai wewenang untuk memproses."

Mark James, IT Security Specialist at ESET:

"Ini adalah fakta di dunia digital saat ini bahwa selalu ada seseorang yang mencoba menipu Anda. Kita melawannya, kita menghapusnya, kita bahkan menyoroti dan menggunakannya untuk mengajari orang lain apa yang harus diwaspadai tapi ada satu hal yang manusia pandai dan itu beradaptasi. Sebagian besar serangan spam atau phishing gagal, tapi itulah jenis serangan yang mereka tidak semua harus berhasil. Agar kami aman, kami harus mendeteksi atau memblokir 100% usaha tersebut namun mereka hanya perlu mendapatkan satu hak. Jika seseorang menaruh pikiran mereka untuk melakukan sesuatu, ada kemungkinan mereka akan berhasil, entah itu urusan pendidikan, bisnis atau busuk. Hal yang baik tentang yang terakhir ini adalah sebagian besar waktu orang tertangkap. Rencana khusus ini melibatkan penempaan alamat email, faktur, dan perangko perusahaan untuk mengelabui beberapa perusahaan besar agar percaya bahwa mereka berurusan dengan perusahaan "benar" dan menyerahkan ribuan, hanya membuktikan bahwa semua perusahaan besar dan kecil dapat scammed . 

"Paul Norris, Senior Engineer at Tripwire:

"Phishing telah lama menjadi teknik berharga bagi penjahat cyber karena kedua perangkat lunak manusia dan pendeteksi yang terlatih kesulitan mengidentifikasi email phishing yang dibuat dengan baik. Namun, masalah yang lebih besar di seluruh papan adalah kesadaran pengguna. Organisasi harus menerapkan program pelatihan yang membantu pengguna mereka memahami aspek spam, phishing, dan perangkat lunak perusak. Sedikit pelatihan bisa dilakukan Pakar Keamanan Jauh di daerah ini. "

Lee Munson, Security Researcher at Comparitech:

"Phishing atau, lebih tepat dalam kasus ini 'CEO Fraud', menimbulkan masalah besar bagi organisasi dari semua ukuran.

Sementara kontrol teknis memiliki peran kecil dalam mengurangi kemungkinan serangan semacam itu berhasil, pelatihan kesadaran staf adalah kunci di sini.

Bahwa bisnis non-teknis dapat diserang dengan cara ini, mungkin, bisa dimaafkan namun hal yang sama tidak dapat dikatakan untuk perusahaan yang beroperasi di sektor teknologi.

Jika perusahaan di balik kerugian $ 100 juta itu benar-benar Facebook dan Google, ini akan menjadi kejutan karena, bahkan jika tim mereka tidak sepenuhnya waspada terhadap tipu muslihat semacam ini, mereka harus memiliki departemen keamanan yang dapat menghasilkan kesadaran seputar jenis keuangan ini. penipuan.

Jadi, sementara undang-undang pengungkapan saat ini mungkin tidak mengharuskan korban dalam kasus ini untuk mengetahui apa yang terjadi - dari sudut pandang keuangan - saya pasti percaya bahwa ada sudut pandang kepentingan umum.

Investor di perusahaan teknologi memiliki hak untuk mengetahui bahwa bisnis mengelola sistem dan orang-orangnya dengan cara yang efektif sehingga meminimalkan risiko yang dapat memiliki dampak signifikan - dan Penipuan CEO relatif mudah untuk diidentifikasi dan dihindari - terutama dalam kasus ini, di mana Penipuan diizinkan untuk terus dicentang selama periode dua tahun. 

"Paul Calatayud, Chief Technology Officer at FireMon:

"Jenis serangan kedua perusahaan ini jatuh berdoa untuk tidak mempengaruhi data pelanggan atau bekerjasama dengan kekayaan intelektual. Juga, scam ini berdoa di departemen keuangan ketimbang cyber atau engineering "talent", jadi setiap perusahaan - tidak peduli seberapa inovatifnya - bisa menjadi korban.

Masalah yang dihadapi adalah apakah atau tidak jenis peristiwa ini memerlukan pengungkapan. Mengingat bahwa kedua perusahaan ini memiliki jumlah uang yang signifikan di bank dan beberapa dipulihkan, karena undang-undang tersebut berdiri, saya tidak merasa melaporkannya perlu dilakukan. Saya merasa bahwa kami kekurangan undang-undang pengungkapan pelanggaran tingkat federal yang berpusat di seputar penghapusan kondisi publik vs pribadi atau material vs. tidak material. Kita perlu mendorong kesadaran; Dan notifikasi ini bisa bermanfaat bagi perusahaan lain. Sampai kita melakukan itu, kita akan tetap berdebat di ruang dewan apakah diperlukan investasi cyber atau seberapa besar kemungkinan serangan yang terjadi. Seperti debat lain di forum sosial, banyak kejahatan tidak dilaporkan dan ini hanya menguntungkan para penjahat karena dapat beroperasi dalam bayang-bayang. "