Spear Phishing største sikkerhetstrussel for regnskapsførere, skatteeksperter og bedrifter

Denne skattesesongen fokuserer ikke bare på sparing, men vær også mer årvåken ettersom du kan bli det neste offeret for Spear Phishing. Cyberkriminelle utnytter vårt fokus på skattesparing og vårt håp om å få penger tilbake fra myndighetene.

Angripere sender en e-post til de ansatte, og etterligner overbevisende e-postadressen til selskapets administrerende direktør og ber dem dele ansattes W-2-skjema. Dette gir angripere tilgang til ansattes personlige data, og hjelper dem med å sende inn falske returer og få refusjoner.

Hvis du bor i Storbritannia, kan du se phishing-angrep som utgir seg for å være HM Revenue & Customs, som lover refusjon. Ved å klikke på en lenke, vil present i e-posten omdirigere deg til et legitimt nettsted som spør om navn, adresse, telefon, kredittkortinformasjon, mors pikenavn og ID-nummer. Dermed gir angripere tilgang til all konfidensiell informasjon, noe som fører til fullverdig ID-tyveri.

Se også:  Gmail er det siste offeret for phishing-angrep!

Lignende lokker er rapportert i Frankrike, Australia og Amerika.

Mange bedrifter og deres ansatte faller for dette spyd-phishing-angrepet. Det lurer en ansatt fra HR- eller finansavdelingen til å sende selskapets W-2s-skjema til administrerende direktør eller seniorleder, som ber om skjemaet som forklarer at det skyldes en økonomisk nødssituasjon.

W-2s-skjema

Hva er W-2s Form?

W-2s-skjema er et føderalt skatteskjema i USA utstedt av arbeidsgivere som oppgir hvor mye skatt en ansatt betaler i løpet av et år. Den består av ansattes navn, SSN-er og andre konfidensielle data. Det kalles også en informasjonsretur.

Kun autorisert personell, HR eller økonomiavdeling har tilgang til disse dataene.

Hva er Spear Phishing?

Spear phishing er et e-postforfalskningsangrep rettet mot spesifikke organisasjoner eller enkeltpersoner, som søker tilgang til konfidensiell informasjon. Den bruker smarte taktikker for å få ofrenes oppmerksomhet som: etterligning, omgåelsesteknikker for tilgangskontroll.

Hvordan fungerer Spear Phishing?

Spear phishing fokuserer på selektive individer eller ansatte. I de fleste tilfeller trenger ikke angripere å jobbe mye, da de fleste selskapene legger ut fullt navn, tittel og e-postadresse til sine ledere, blir det lettere å få tilgang til dataene. Dermed viser det seg å være en skattekiste for slemme gutter, å sende phishing-e-post og utgi seg for en person.

Se også:  Cybertrusler som kommer til å utvikle seg i årene som kommer!

Forsvar mot spyd-phishing

Enhver form for phishing fører til slutt til kompromittering av sensitive data. Hvis det ignoreres, vil et selskap være vitne til datainnbrudd, identitetstyveri. Noen få bemerkelsesverdige hendelser der selskaper tapte millioner av dollar og må kompromittere kunderegistrene er: JP Morgan, Home Depot og Target.

Angripere retter seg ikke bare mot store bedrifter, men fokuserer også på små og mellomstore bedrifter. Små bedrifter har mindre sikkerhetsinfrastruktur på grunn av mindre ansatte, derfor er de lett målrettet.

Siden e-post er det vanligste kommunikasjonsmediet i organisasjoner, er det viktig å sikre det mot sannsynlige phishing-angrep. Ansatte bør gis opplæring for å bekjempe ulike phishing-teknikker.

De bør vite hvordan de kan gjøre forskjellen mellom en ekte og en phishing-e-post.

Her er noen tips som kan beskytte deg og andre mot denne svindelen:

1. Den første og mest vanlige tingen å legge merke til i en mistenkelig e-post at den vil ha feilstavet tekst, merkelig ordforråd.

1. Det bør være et sterkt sikkerhetsnettverk slik at ingen kan omgå det.
2. Hvis du mottar en e-post som ber om konfidensiell informasjon, bekrefter du den først ved å kontakte personen som angivelig ber om informasjonen. Forsøk aldri å kontakte personen via telefonnummeret eller e-posten oppgitt i den mistenkelige e-posten. Krysssjekk i stedet det samme med en pålitelig kilde.
3. Vet ikke dele / sende konfidensiell informasjon via ukryptert e-post.
4. Send inn selvangivelsen og ikke lagre dataene på maskinen din.
5. Ikke lagre brukernavn eller passord på offentlige/offisielle systemer.
6. Til slutt, tenk før du klikker!