न्यू हेवन, कनेक्टिकट, स्कूल डिस्ट्रिक्ट को बिजनेस ईमेल कॉम्प्रोमाइज (बीईसी) हमले में साइबर चोरों के कारण $6 मिलियन से अधिक का नुकसान हुआ, जिसका पता तब चला जब असली विक्रेता ने पूछा कि उन्हें भुगतान क्यों नहीं किया गया।
एबीसी न्यूज प्रदान किया गया हमले पर विवरण, जो मई में शुरू हुआ और हैकर्स की ओर से उच्च स्तर के धैर्य का प्रदर्शन किया गया।
- अपराधियों ने स्कूल प्रणाली के मुख्य परिचालन अधिकारी (सीओओ) के ईमेल खाते तक पहुंच प्राप्त कर ली।
- उस ईमेल एक्सेस का उपयोग करके, हैकर्स ने विक्रेताओं की पहचान करते हुए कई हफ्तों तक संचार की निगरानी की।
- फिर नकली विक्रेता ईमेल सीओओ को भेजे गए, जिसमें अपराधियों द्वारा नियंत्रित बैंक खातों में भुगतान का निर्देश दिया गया।
घाटे में एक स्कूल बस कंपनी के लिए किए गए धोखाधड़ीपूर्ण भुगतान में $5.9 मिलियन से अधिक शामिल है। एफबीआई चुराए गए धन में से $3.6 मिलियन की वसूली करने में सक्षम थी।
यह बीईसी हमला परिष्कार और धैर्य के स्तर को दर्शाता है जिसे कई व्यवसाय मालिक और कर्मचारी साइबर अपराधियों से नहीं जोड़ते हैं। लक्षित ईमेल खाते तक चुपचाप पहुंच प्राप्त करके और बातचीत की निगरानी करके, अपराधी अतिरिक्त, वैयक्तिकृत जानकारी एकत्र करने में सक्षम थे जो उन्हें बड़ी मात्रा में धन को सफलतापूर्वक पुनर्निर्देशित करने के लिए आवश्यक थी।
जैसा कि मैंने पिछले महीने नोट किया था, साइबर अपराधी एआई का उपयोग कर रहे हैं उनके बीईसी और बहानेबाजी हमलों में सुधार करने के लिए। जबकि फ़िशिंग और धोखाधड़ी के कई प्रयास अभी भी समाधान योग्य संकेत देते हैं, नियोक्ताओं और कर्मचारियों को तेजी से परिष्कृत, वैयक्तिकृत और प्रेरक हमलों से निपटने के लिए तैयार रहना चाहिए। याद रखें कि अपराधियों का केवल एक ही काम होता है: आपसे चोरी करना और गलत तरीके से कमाए गए लाभ को वापस पाने से पहले छिपा देना। किसी विक्रेता की ओर से कोई भी असामान्य कार्रवाई या अनुरोध, भले ही वह छोटा लगे, उसकी जांच की जानी चाहिए।
सरल युक्तियाँ परिष्कृत व्यावसायिक ईमेल समझौता हमलों को रोकेंगी
न्यू हेवन की स्कूल प्रणाली को निशाना बनाने वाले हैकरों ने समझौता किए गए सीओओ ईमेल खाते तक पहुंच खोने के जोखिम पर, उच्च-मूल्य वाले विक्रेताओं की पहचान करने में अपना समय लिया। हालाँकि यह परिष्कार के स्तर को दर्शाता है जो असामान्य है, यह सफल भी साबित हुआ है, और हैकर समूह अपनी सफलता की कहानियाँ साझा करते हैं क्योंकि वे अपनी आपराधिक रणनीतियों को परिष्कृत करते हैं।
इस तरह के और भी बीईसी हमले होंगे। अगला शिकार बनने से बचने के लिए संगठनों को इन सरल चरणों का पालन करना चाहिए:
- दो-कारक प्रमाणीकरण (2FA) अनिवार्य करें। मान लें कि हैकर्स के पास आपके उपयोगकर्ता नाम और पासवर्ड हैं, भले ही आप उनके साथ कितने सावधान रहें, या आप उन्हें कितनी बार बदलते हैं। अपराधियों को अपने ईमेल से दूर रखने का एकमात्र विश्वसनीय तरीका दो-कारक प्रमाणीकरण का उपयोग करना है जिसके लिए आपको लॉग इन करने से पहले एक व्यक्तिगत डिवाइस, जैसे स्मार्ट फोन, के माध्यम से एक अतिरिक्त चरण पूरा करना होगा। Google को अब कुछ के लिए 2FA की आवश्यकता है इसकी सेवाएँ। यह प्रत्येक संगठन के लिए एक अनिवार्य नीति होनी चाहिए और वित्तीय प्रणालियों या व्यक्तिगत जानकारी के डेटाबेस तक पहुंच रखने वाले किसी भी व्यक्ति के लिए यह आवश्यक है।
- नियमित रूप से ऑनलाइन उपयोग की निगरानी करें। आईटी विभागों को हमेशा पता होना चाहिए कि सिस्टम तक कौन पहुंच रहा है और कहां से। परिष्कृत अपराधी अपने ट्रैक को छिपाने या किसी स्थान को धोखा देने में सक्षम हो सकते हैं, लेकिन फिर भी व्यक्तिगत खातों तक पहुंच में असामान्य वृद्धि होगी। जब भी कोई नया उपकरण किसी नेटवर्क से जुड़ने या ईमेल या ऑनलाइन सेवा में लॉग इन करने का प्रयास करता है तो खाता उपयोगकर्ता और आईटी स्टाफ दोनों को सचेत करने के लिए सिस्टम स्थापित किया जाना चाहिए।
- किसी भी परिवर्तन पर नजरों के दूसरे सेट की आवश्यकता होती है। बीईसी हमले धन और सामान को नए खातों या स्थानों पर भेजकर चोरी करते हैं। संगठनों को ऐसी प्रक्रियाएं बनानी चाहिए जो भुगतान गंतव्यों, डिलीवरी शेड्यूल या डिलीवरी स्थानों में किसी भी बदलाव की आंतरिक समीक्षा को अनिवार्य बनाती हों। परिवर्तन का अनुरोध करने वाले किसी भी ईमेल के प्रेषक पर बहुत ध्यान दें, क्योंकि अपराधी अपने लक्ष्यों को धोखा देने की कोशिश करने के लिए नकली ईमेल बनाएंगे जो वैध लगेंगे।
- किसी भी परिवर्तन के लिए ध्वनि अनुमोदन अनिवार्य करें। जब एक नए बैंक खाते का उपयोग करने का अनुरोध आता है, या एक ग्राहक एक ईमेल भेजता है जिसमें डिलीवरी को फिर से करने के लिए कहा जाता है, तो संगठनात्मक प्रक्रियाओं के लिए उस ग्राहक के संपर्क व्यक्ति को फोन कॉल की आवश्यकता होनी चाहिए। किसी संदिग्ध ईमेल में दिए गए किसी भी नंबर पर कॉल न करें। ग्राहक या विक्रेता के फ़ाइल नंबर पर कॉल करें और उनसे पूछें कि क्या उन्होंने परिवर्तन का अनुरोध किया है। किसी भी परिवर्तन को अधिकृत करने के साधन के रूप में एक पासवर्ड लागू करने पर विचार करें जिसे केवल आप और विक्रेता ही जानते हों।
- प्रमुख कर्मचारियों की ऑनलाइन दृश्यता सीमित करें। अपराधी उच्च-मूल्य वाले लक्ष्यों की पहचान करने के लिए नियमित रूप से समझौता किए गए ईमेल और व्यावसायिक खातों का उपयोग करते हैं, जिनके बारे में उनका मानना है कि वे व्यक्तिगत जानकारी या वित्त तक पहुंच सकते हैं। प्रमुख कर्मियों की पहचान छुपाकर रखने से इस प्रकार के लक्ष्यीकरण को रोकने में मदद मिलती है। जिन व्यक्तियों के पास उच्च स्तर की दृश्यता है, वे सार्वजनिक रूप से दृश्यमान ईमेल बनाए रखते हुए एक दूसरा ईमेल खाता या लॉगिन स्थापित करने पर विचार करें जिसे आसानी से पता नहीं लगाया जा सकता है। उदाहरण के लिए, जो स्मिथ नाम के सीईओ के पास सार्वजनिक उपयोग के लिए joesmith@companyname.com ईमेल खाता हो सकता है, लेकिन आधिकारिक कर्तव्यों के लिए एक बहुत अलग ईमेल खाता, जैसे 712995abznow@companyname.com। अपराधी आसानी से द्वितीयक खाते की पहचान नहीं कर पाएंगे, हालांकि यह एक अचूक समाधान नहीं है यदि छिपे हुए ईमेल को सावधानीपूर्वक संरक्षित नहीं किया गया है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. ऑटोमोटिव/ईवीएस, कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- चार्टप्राइम. चार्टप्राइम के साथ अपने ट्रेडिंग गेम को उन्नत करें। यहां पहुंचें।
- BlockOffsets. पर्यावरणीय ऑफसेट स्वामित्व का आधुनिकीकरण। यहां पहुंचें।
- स्रोत: https://www.finextra.com/blogposting/24825/business-email-compromise-bec-attack-steals-6-million-from-public-school-system?utm_medium=rssfinextra&utm_source=finextrablogs
- :है
- :नहीं
- :कहाँ
- $3
- $यूपी
- 2FA
- 9
- a
- योग्य
- पहुँच
- तक पहुँचने
- लेखा
- अकौन्टस(लेखा)
- कार्य
- अतिरिक्त
- बाद
- चेतावनी
- भी
- हमेशा
- राशि
- an
- और
- कोई
- किसी
- अनुमोदन
- हैं
- AS
- सहयोगी
- मान लीजिये
- At
- आक्रमण
- आक्रमण
- प्रयास
- ध्यान
- प्रमाणीकरण
- से बचने
- बैंक
- बैंक खाता
- बैंक खाते
- BE
- भालू
- बीईसी
- बनने
- किया गया
- से पहले
- शुरू किया
- मानना
- के छात्रों
- बस
- व्यापार
- व्यापार ईमेल समझौता
- व्यवसाय स्वामी
- लेकिन
- by
- कॉल
- कर सकते हैं
- नही सकता
- सावधान
- सावधानी से
- मुख्य कार्यपालक अधिकारी
- परिवर्तन
- परिवर्तन
- प्रमुख
- चीफ ऑपरेटिंग ऑफिसर
- ग्राहक
- समापन
- COM
- आता है
- संचार
- कंपनी
- पूरा
- समझौता
- छेड़छाड़ की गई
- जुडिये
- विचार करना
- नियंत्रित
- बातचीत
- कूजना
- आवरण
- बनाना
- अपराधी
- अपराधियों
- साइबर
- डेटाबेस
- सौदा
- प्रसव
- साबित
- दर्शाता
- विभागों
- स्थलों
- युक्ति
- विभिन्न
- संचालन करनेवाला
- की खोज
- ज़िला
- do
- कॉल न करें
- आसानी
- ईमेल
- ईमेल
- कर्मचारियों
- नियोक्ताओं
- आवश्यक
- और भी
- प्रत्येक
- उदाहरण
- अतिरिक्त
- आंखें
- एफबीआई
- पट्टिका
- वित्त
- वित्तीय
- वित्तीय प्रणाली
- ललितकार
- का पालन करें
- के लिए
- धोखा
- कपटपूर्ण
- अक्सर
- से
- प्राप्त की
- पाने
- लाभ
- इकट्ठा
- दी
- Go
- माल
- गूगल
- समूह की
- हैकर
- हैकर्स
- था
- फसल
- है
- मदद करता है
- छिपा हुआ
- छिपाना
- हाई
- कैसे
- HTTPS
- i
- पहचान करना
- पहचान
- पहचान
- if
- कार्यान्वयन
- में सुधार
- in
- शामिल
- बढ़ना
- तेजी
- व्यक्ति
- व्यक्तियों
- करें-
- आंतरिक
- IT
- आईटी इस
- काम
- JOE
- जेपीजी
- केवल
- सिर्फ एक
- रखना
- रखना
- कुंजी
- बच्चा
- जानना
- पिछली बार
- वैध
- स्तर
- पसंद
- स्थान
- स्थानों
- लॉग इन
- देखिए
- हार
- खोया
- को बनाए रखने के
- अधिदेश
- अनिवार्य
- बहुत
- बात
- मई..
- साधन
- मतलब
- हो सकता है
- दस लाख
- धन
- नजर रखी
- निगरानी
- महीना
- अधिक
- चाहिए
- नामांकित
- जरूरत
- नेटवर्क
- नया
- समाचार
- अगला
- नहीं
- विख्यात
- अभी
- संख्या
- of
- अफ़सर
- सरकारी
- on
- ONE
- ऑनलाइन
- केवल
- परिचालन
- or
- संगठन
- संगठनात्मक
- संगठनों
- आउट
- मालिकों
- प्रदत्त
- भाग
- पासवर्ड
- पासवर्ड
- धैर्य
- वेतन
- भुगतान
- भुगतान
- व्यक्ति
- स्टाफ़
- निजीकृत
- कर्मियों को
- फ़िशिंग
- फ़ोन
- फ़ोन कॉल
- जाली
- जगह
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- बिन्दु
- नीति
- तैयार
- प्रक्रिया
- प्रक्रियाओं
- साबित
- सार्वजनिक
- सार्वजनिक रूप से
- रखना
- चुपचाप
- वास्तविक
- की वसूली
- अनुप्रेषित
- को परिष्कृत
- नियमित तौर पर
- विश्वसनीय
- याद
- का अनुरोध
- की आवश्यकता होती है
- की आवश्यकता होती है
- की समीक्षा
- जोखिम
- स्कूल के साथ
- दूसरा
- माध्यमिक
- लगता है
- प्रेषक
- भेजता
- भेजा
- सेवा
- सेवाएँ
- सेट
- की स्थापना
- कई
- Share
- चाहिए
- दिखाता है
- महत्वपूर्ण
- लक्षण
- सरल
- छोटा
- स्मार्ट
- समाधान
- कुछ
- परिष्कृत
- मिलावट
- कर्मचारी
- चुरा
- कदम
- कदम
- फिर भी
- चुराया
- चोरी का पैसा
- रुकें
- कहानियों
- रणनीतियों
- सफलता
- सफलता की कहानियां
- सफल
- सफलतापूर्वक
- ऐसा
- प्रणाली
- सिस्टम
- युक्ति
- लक्षित
- को लक्षित
- लक्ष्य
- से
- कि
- RSI
- लेकिन हाल ही
- उन
- फिर
- वहाँ।
- इन
- वे
- इसका
- हालांकि?
- पहर
- सेवा मेरे
- ले गया
- कोशिश
- उपयोग
- उपयोगकर्ता
- का उपयोग
- विक्रेता
- विक्रेताओं
- बहुत
- के माध्यम से
- शिकार
- दृश्यता
- दिखाई
- आवाज़
- था
- मार्ग..
- सप्ताह
- थे
- जब कभी
- कौन कौन से
- जब
- कौन
- क्यों
- मर्जी
- साथ में
- होगा
- आप
- आपका
- जेफिरनेट