Reklamy „cudownych” preparatów czy rewelacyjnych inwestycji, fałszywe maile o wygranych w loteriach lub konieczności dopłaty za dostawę paczki, której nie zamówiliśmy - do takich prób oszustw internetowych wiele osób zdążyło się już przyzwyczaić. Jesteśmy na nie wyczuleni, więc łatwiej je rozpoznać i nie dać się nabrać.
Jednak oszuści internetowi nie próżnują także wtedy, gdy pracujemy. Sprzyjają temu w pełni lub częściowo zdalne systemy zatrudnienia, szczególnie popularne od czasu pandemii. Pracując z domu, częściej zdarza się przeplatać obowiązki służbowe ze sprawami prywatnymi - na jednym komputerze czy smartfonie.
Jak wyglądają ataki na pracownicze skrzynki mailowe
Business Email Compromise (BEC) to ukierunkowana forma phishingu, mająca na celu wyłudzenie danych pracowników firm i instytucji. Pozyskane w ten sposób informacje posłużą przestępcom do uzyskania nieautoryzowanego dostępu do danych i urządzeń organizacji. Jak wygląda taki atak? Zwykle są to maile, wysyłane z adresów mailowych łudząco przypominających skrzynki prawdziwych osób albo wręcz wysłane z takich skrzynek, do których dostęp przestępcy uzyskali nielegalnie.
Przestępcy zawsze wywierają w nich presje i nakłaniają do szybkiego, nieprzemyślanego działania. Straszą swoją ofiarę konsekwencjami - przykładowo może to być komunikat o problemach z rezerwacją biletów lub noclegu hotelowego dla prezesa, informacja o nieopłaconej fakturze czy monit od urzędu skarbowego, który trzeba natychmiast zapłacić, aby uniknąć kary finansowej
Sprawcom zależy, żeby pracownik, będąc pod presją czasu, nie zdążył przejrzeć całej wiadomości i zastanowić się, czy jest autentyczna, tylko zrobił, co mu wskazano: wykonał przelew na podany rachunek bankowy lub otworzył plik z załącznika (może to być grafika, plik tekstowy czy arkusz kalkulacyjny).
Tymczasem w załączniku tak naprawdę jest złośliwe oprogramowanie. Jeśli nieświadomy pracownik go otworzy, przestępcy mogą uzyskać dostęp do poufnych danych firmy – służbowej korespondencji czy na przykład danych klientów. A to otworzy im pole do szantażu: przywrócą firmie dostęp i nie opublikują pozyskanych treści w zamian za okup. Jednak nawet jeśli poszkodowana organizacja zapłaci wskazaną kwotę, niewykluczone, że przestępcy wysuną kolejne żądania lub i tak wykorzystają jej dane.
Edukacja najlepszą ochroną
Jak ustrzec się przed takimi zagrożeniami? Podstawą jest edukacja pracowników.
- W dobie cyfryzacji praktycznie każdego aspektu naszego codziennego funkcjonowania, cyberbezpieczeństwo firmy nie tylko zależy od stworzenia przez zespoły IT środowiska odpornego na błędy użytkowników, ale również od świadomości pracowników i ich odporności na metody stosowane przez cyberprzestępców. Szybkie tempo życia oraz nadmiar informacji sprawiają, że jako społeczeństwo jesteśmy nadal podatni socjotechniki, które oni stosują. Dlatego bardzo często nie system, a człowiek pozwala na skuteczne przeprowadzenie cyberataku - zauważa Paulina Rosłoń, ekspertka ds. edukacji bezpieczeństwa z Centrum Bezpieczeństwa Banku Pekao S.A.
Kluczowe jest przestrzeganie przez firmy kilku zasad:
• Opracowanie jasnych i zrozumiałych przez użytkowników procedur bezpieczeństwa oraz systemu zgłaszania incydentów.• Regularne szkolenia pracowników i kadry zarządzającej oraz ocena ich efektywności np. poprzez stosowanie symulatorów kampanii phishingowych.• Zabezpieczenie komputerów zaporami sieciowymi (firewall) oraz bieżąca aktualizacja systemów firmy oraz oprogramowania antywirusowego. • Korzystanie z weryfikacji dwuskładnikowej (2FA), na przykład za pomocą SMS czy aplikacji uwierzytelniających lub kluczy U2F do weryfikacji tożsamości - wszędzie tam gdzie jest to możliwe.
Widzę podejrzanego maila służbowego i co dalej?
Co zrobić, żeby uniknąć w pracy zagrożeń internetowych? Przede wszystkim należy dokładnie analizować otrzymywane maile. Warto sprawdzić cały adres mailowy, a nie tylko nazwę nadawcy, a także treść wiadomości. Jeśli zauważymy nietypowe sformułowania, błędy językowe lub gramatyczne, może to być próba oszustwa.
Przed taką weryfikacją maila nie należy klikać w zawarte w nim linki ani otwierać załączonych plików. Nie należy logować się do bankowości elektronicznej z linków przesłanych w mailach lub SMSach. Warto pamiętać, że wiele instytucji, m.in. Bank Pekao S.A., w swoich serwisach i aplikacjach nigdy nie prosi przy logowaniu o wpisanie całego hasła, tylko wybranych znaków.
Ponadto nie należy, o ile nie jest to konieczne, przechodzić w tryb edycji plików Office, których nie przejrzeliśmy, ani nie uruchamiać opcji „włącz zawartość”.
Próby oszustw internetowych zdarzają się coraz częściej i nie wątpliwości, że skala tego zagrożenia będzie dalej rosła, także dla firm. Ale wystarczy kilka dobrych nawyków przy korzystaniu z internetu, żeby mocno ograniczyć ryzyko.
![Prasa umiera? Skądże! Wydawca "Vogue Polska" wprowadzi do Polski kolejny luksusowy tytuł [TYLKO U NAS]](https://v.wpimg.pl/OTZkOGM3YDU7CTl0YkhtIHhRbS4kEWN2L0l1ZWIBe2QiWnt3YlUmOD8ZKjciHSgmLxsuMD0dPzh1Cj8uYkV-ez4CPDchUjZ7PwYtIikcKW0_Un9yeQFiMm1Semp5C35jdwl5JXoeemE5DXZxKQssYz9SbTo)
