CEO Fraud i Deep Fake: Přibývá způsobů, jak přijít o miliony

Sociální inženýrství patří mezi nejrozšířenější typy kybernetických útoků. Patří sem hlavně phishing neboli podvodné e-maily, které využívávají stále sofistikovanější způsoby, jak z obětí vylákat citlivá data nebo rovnou peníze. S rozvojem umělé inteligence se pak útočníci dostávají k dalším možnostem a dokážou se vydávat prakticky za kohokoli. Třeba za šéfa velké korporace a tak vytáhnout z firmy i milionové částky.

Co je to CEO Fraud a jak ho poznat

CEO Fraud je typ phishingového útoku, který se na scénu kybernetického zločinu dostal poměrně nedávno. Podvodníci se při něm vydávají za generálního ředitele, finančního ředitele nebo jinak vysoce postaveného představitele firmy a přes velmi naléhavý e-mail požadují po svém podřízeném určitou akci. Nejčastěji jde například o urgentní proplacení faktury.

Stejně jako jiný typ phishingu, vykazuje i CEO Fraud typické znaky, které mohou sloužit jako varování. Společným prvkem takových zpráv je především naléhavost. Útočník v takovém případě předpokládá, že příjemce zprávy si například fakturu pořádně neprojde a nezkontroluje si IČO firmy nebo číslo účtu, kam by měl částku zaslat.

Cílem útočníků ale mohou být kromě peněz i přístupy k citlivým údajům jako jsou například různé smlouvy nebo finanční přehledy firmy.

Jak nenaletět na CEO Fraud:

• Přečtěte si zprávu pořádně - pokud si například tykáte a najednou vám ve zprávě váš nadřízený vyká nebo opačně, zbystřete. Oslovuje vás tak, jako vždycky? Je povaha komunikace v souladu s vaší agendou? Pokud se zpráva jakkoli vymyká běžnému kontextu nebo vykazuje podivné znaky, nejspíš může jít o podvod.
• Pořádně zkontrolujte adresu odesílatele - i když se na první pohled může zdát, že i adresát je v pořádku, při detailnějším pohledu třeba narazíte na to, že jsou některá písmena přehozená, jsou tam navíc nebo jsou místo písmen použité číslice.
• Nebojte se prověřit si odesílatele - pokud vám například přijde naléhavá zpráva do e-mailu, zkuste svého nadřízeného kontaktovat jinak. Zajděte za ním osobně, zavolejte mu nebo si zprávu ověřte třeba přes Teamsy nebo jiný komunikační kanál, který ve firmě používáte.

Vaše firemní IT správa může také do e-mailů, které nepřichází přímo z firmy, implementovat označení "external". Díky tomu je každý e-mail, který nemá firemní doménu, označen tímto tagem a je snazší rozpoznat, kdy vám píše někdo mimo vaší organizaci. I když útočník napodobí firemní e-mail, tento bezpečnostní prvek neobjede a u jeho zprávy se takové označení vždycky objeví.

Deep fake posouvají CEO Fraud na novou úroveň

Kvůli propracovanému podvodu, kdy útočníci využili jak metody CEO Fraud tak i technologie Deep Fake, přišla firma o 25 milionu dolarů. Stalo se to začátkem roku 2024 v Hong Kongu během klasického videhovoru. Zaměstnanec firmy se připojil na meeting, kde si myslel, že s ním komunikuje jeho finanční ředitel a další manažeři firmy. Všichni účastníci callu byli ale podvodníci, kteří využili právě metody Deep Fake.

Jde o videa nebo i audiozáznamy, které dokážou vzít podobu skutečného člověka a vytvořit jeho falešnou digitální verzi. Takovým způsobem mohou skrze něj promlouvat k zaměstnancům, kteří nemají mnohdy šanci poznat, že je něco špatně. Útočníkům stačí, aby se dostali k záznamům skutečných lidí a pak si díky propracované technologii můžou s takovým obrazem a zvukem dělat prakticky co chtějí.

Deep Fake videa ale neohrožují pouze firmy. Známé jsou také falešní politici, kteří například doporučují lidem, kam mají investovat peníze. Nedávným příkladem z českého prostředí jsou Deep Fake videa Andreje Babiše, který na sociálních sítích přesvědčuje lidi, aby "výhodně" investovali a zaručili si tak pasivní příjem. V krátkém klipu se objevuje nejen "deepfake" Babiš, ale video je doplněné i úryvky z fiktivního zpravodajství a využívá i loga známých společností.

Pokud se na kybernetické útoky chcete podívat také z druhé strany a naučit se jim bránit, mrkněte se na pracovní příležitosti a rozjeďte svou kariéru v IT.