最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

PC商店告诉它在社会工程攻击后不能要求全额网络犯罪保险

网络安全 快米云 来源:快米云 49浏览

明尼苏达州一家电脑商店起诉其犯罪保险提供商,其案件已被驳回,法院称这是一个明显的社会工程案例,保险公司仅承担总损失的一小部分。

SJ Computers 在11 月的诉讼[PDF] 中声称,Travelers Casualty and Surety Co. 所欠的远远超过因成功的商业电子邮件泄露(BEC) 攻击而导致的近 600,000 美元损失的索赔。

根据其网站,SJ Computers 是微软授权的翻新商,转售戴尔、惠普、联想和宏基的产品,并提供包括软件安装和升级在内的技术服务。

提出驳回动议的 Travelers 表示,SJ 的政策明确区分了计算机欺诈和社会工程欺诈。上周五,该动议被批准[PDF],但有偏见。

在解雇令中,美国明尼苏达州地方法院认定这两项保单协议是相互排斥的,并且认定 SJ 的索赔完全符合其与 Travelers 签订的社会工程欺诈协议,该协议的上限为 100,000 美元。

法院指出,当 SJ 向 Travelers 提出索赔时,它只是根据社会工程欺诈协议这样做的。在意识到对计算机欺诈的政策限制高出 10 倍后,“SJ Computers 随后提出了一系列论点——从创造性到绝望——试图说服 Travelers 其损失不是社会工程欺诈的结果(如 SJ计算机本身最初说过),而是计算机欺诈的结果,”地区法官在命令中写道。

事件

SJ Computers 的案例是 BEC 的一个相当枯燥的实例,其中涉及攻击者访问他们用来欺骗企业转移资金或将敏感数据发送到攻击者控制的帐户的合法电子邮件帐户。

在 SJ 的例子中,攻击者向 SJ 的采购经理发送了虚假发票,然后以诉讼或解雇令中未指定的方法访问了采购经理的电子邮件帐户。 

法庭文件称,一旦进入内部,攻击者就会将购买协议发送给 SJ 的首席执行官,后者通常会签署此类命令。由于欺诈发票包括更改银行账户信息,CEO致电供应商确认,但在发票上列出的截止日期之前没有得到回复。

在没有回话的情况下,SJ 发起了两次电汇,总额为 593,555 美元,并且在付款清算之前没有发现欺诈行为。

政策

根据法院的驳回文件,Travelers 将计算机欺诈定义为“故意、未经授权和欺诈性地将数据或计算机指令直接输入或更改到计算机系统中”,其涵盖的金额不超过 100 万美元。同时,Travelers 的计算机欺诈政策规定,员工或授权人员根据欺诈性指示进行的此类输入或更改不包括在内。

Travelers 同意涵盖 SJ 的社会工程欺诈在政策中被定义为“自然人通过使用沟通。”

“从投诉中可以清楚地看出……SJ Computers 的损失在社会工程欺诈协议范围内,而不是在计算机欺诈协议范围内,”该命令称。 

它继续说:

当坏演员在他的电子邮件中点击“发送”时,SJ Computers 没有遭受一分钱的经济损失。如果 CEO 没有打开这些电子邮件,或者 CEO 向采购经理询问了这些电子邮件,或者 ERI Direct 在 CEO 打电话时接听了电话,或者 ERI Direct 已经及时回复了 CEO 留下的语音邮件,或者如果 CEO 在支付发票之前等待 ERI Direct 的消息。

上下文

根据下达命令的首席地区法官帕特里克·舒尔茨(Patrick Schiltz)的说法,此案在某种程度上具有新的法律基础。在意见中,Schiltz 指出,SJ 的诉讼和 Travelers 的解雇动议都只引用了其他三个案例,它们都来自不同的司法管辖区,“在计算机或社会工程欺诈的背景下分析了直接因果关系的概念”。

法院指出,所有这些案件都有一个重大的共同点——没有一个涉及涵盖计算机和社会工程欺诈的保险单,也没有明确说明这两种欺诈是不同的、相互排斥的类别。 

因此,本案与其说是对未来围绕社会工程保险支付的法律分歧的试金石,不如说是对合同的仔细阅读的检验。 

“[Travelers’] 政策清楚地预见并明确解决了导致 SJ Computers 损失的情况,并且该政策向后弯曲以明确表明这种情况涉及社会工程欺诈,而不是计算机欺诈,”Schiltz 说. 

 

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » PC商店告诉它在社会工程攻击后不能要求全额网络犯罪保险