Cyberprzestępcy atakują też firmy. Edukacja pracowników pierwszą linią obrony

Reklamy „cudownych” preparatów czy rewelacyjnych inwestycji, fałszywe maile o wygranych w loteriach lub konieczności dopłaty za dostawę paczki, której nie zamówiliśmy - do takich prób oszustw internetowych wiele osób zdążyło się już przyzwyczaić. Jesteśmy na nie wyczuleni, więc łatwiej je rozpoznać i nie dać się nabrać.

Jednak oszuści internetowi nie próżnują także wtedy, gdy pracujemy. Sprzyja temu w pełni lub częściowo zdalne systemy zatrudnienia, szczególnie popularne od czasu pandemii. Pracując z domu, częściej zdarza się przeplatać obowiązki służbowe ze sprawami prywatnymi - na jednym komputerze czy smartfonie.

Jak wyglądają ataki na pracownicze skrzynki mailowe

Business Email Compromise (BEC) to ukierunkowana forma phishingu, mająca na celu wyłudzenie danych pracowników firm i instytucji. Pozyskane w ten sposób informacje posłużą przestępcom do uzyskania nieautoryzowanego dostępu do danych i urządzeń organizacji. Jak wygląda taki atak? Zwykle są to maile, wysyłane z adresów mailowych łudząco przypominających skrzynki prawdziwych osób albo wręcz wysłane z takich skrzynek, do których dostęp przestępcy uzyskali nielegalnie.

Przestępcy zawsze wywierają w nich presje i nakłaniają do szybkiego, nieprzemyślanego działania. Straszą swoją ofiarę konsekwencjami  - przykładowo może to być komunikat o problemach z rezerwacją biletów lub noclegu hotelowego dla prezesa, informacja o nieopłaconej fakturze czy monit od urzędu skarbowego, który trzeba natychmiast zapłacić, aby uniknąć kary finansowej

Sprawcom zależy, żeby pracownik, będąc pod presją czasu, nie zdążył przejrzeć całej wiadomości i zastanowić się, czy jest autentyczna, tylko zrobił, co mu wskazano: wykonał przelew na podany rachunek bankowy lub otworzył plik z załącznika (może to być grafika, plik tekstowy czy arkusz kalkulacyjny).

Tymczasem w załączniku tak naprawdę jest złośliwe oprogramowanie. Jeśli nieświadomy pracownik go otworzy, przestępcy mogą uzyskać dostęp do poufnych danych firmy – służbowej korespondencji czy na przykład danych klientów. A to otworzy im pole do szantażu: przywrócą firmie dostęp i nie opublikują pozyskanych treści w zamian za okup. Jednak nawet jeśli poszkodowana organizacja zapłaci wskazaną kwotę, niewykluczone, że przestępcy wysuną kolejne żądania lub i tak wykorzystają jej dane.

Edukacja najlepszą ochroną

Jak ustrzec się przed takimi zagrożeniami? Podstawą jest edukacja pracowników. - W dobie cyfryzacji praktycznie każdego aspektu naszego codziennego funkcjonowania,  cyberbezpieczeństwo firmy nie tylko zależy od stworzenia przez zespoły IT środowiska odpornego na błędy użytkowników, ale również od świadomości pracowników i ich odporności na metody stosowane przez cyberprzestępców. Szybkie tempo życia oraz nadmiar informacji sprawiają, że jako społeczeństwo jesteśmy nadal podatni socjotechniki, które oni stosują. Dlatego bardzo często nie system, a człowiek pozwala na skuteczne przeprowadzenie cyberataku - zauważa Paulina Rosłoń, ekspert ds. edukacji bezpieczeństwa z Centrum Bezpieczeństwa Banku Pekao S.A.

Kluczowe jest przestrzeganie przez firmy kilku zasad:

• Opracowanie jasnych i zrozumiałych przez użytkowników procedur bezpieczeństwa oraz systemu zgłaszania incydentów.
• Regularne szkolenia pracowników i kadry zarządzającej oraz ocena ich efektywności np. poprzez stosowanie symulatorów kampanii phishingowych.
• Zabezpieczenie komputerów zaporami sieciowymi (firewall) oraz bieżąca aktualizacja systemów firmy oraz oprogramowania antywirusowego.  
• Korzystanie z weryfikacji dwuskładnikowej (2FA), na przykład za pomocą SMS czy aplikacji uwierzytelniających lub kluczy U2F do weryfikacji tożsamości - wszędzie tam gdzie jest to możliwe.

Widzę podejrzanego maila służbowego i co dalej?

Co zrobić, żeby uniknąć w pracy zagrożeń internetowych? Przede wszystkim należy dokładnie analizować otrzymywane maile. Warto sprawdzić cały adres mailowy, a nie tylko nazwę nadawcy, a także treść wiadomości. Jeśli zauważymy nietypowe sformułowania, błędy językowe lub gramatyczne, może to być próba oszustwa.

Przed taką weryfikacją maila nie należy klikać w zawarte w nim linki ani otwierać załączonych plików. Nie należy też klikać w linki w SMS-ach prowadzące do serwisów instytucji finansowych. Warto pamiętać, że wiele instytucji, m.in. Bank Pekao S.A., w swoich serwisach i aplikacjach nigdy nie prosi przy logowaniu o wpisanie całego hasła, tylko wybranych znaków.

Ponadto nie należy, o ile nie jest to konieczne, przechodzić w tryb edycji plików Office, których nie przejrzeliśmy, ani nie uruchamiać opcji „włącz zawartość”.

Próby oszustw internetowych zdarzają się coraz częściej i nie wątpliwości, że skala tego zagrożenia będzie dalej rosła, także dla firm. Ale wystarczy kilka dobrych nawyków przy korzystaniu z internetu, żeby mocno ograniczyć ryzyko.