Aktualności

Cyberprzestępcy nie mają urlopu – jak zadbać o swoją firmę w okresie wakacyjnym?

Oszustwa komputerowe stanowią największa liczbę – ok. 76 tysięcy – zarejestrowanych przez CERT Polska tego typu incydentów w 2023 roku*. Zgodnie z raportem, drugą pozycję pod względem ilości zgłoszeń odnotowano ataki z użyciem szkodliwego oprogramowania. Działalność oszustów niejednokrotnie wymierzona jest w firmy. Ataki typu ransomware, BEC czy phishing to przykłady działań oszustów wymierzone także w biznes.

W okresie wakacyjnym, kiedy zdecydowana większość pracowników korzysta z urlopów, a ich obowiązki przejmowane są przez inne osoby, warto przypomnieć sobie w jaki sposób można się przed nimi chronić i jak zwiększyć bezpieczeństwo swojej organizacji.

 

Najpopularniejsze zagrożenia na jakie narażone są firmy, obiekty i instytucje.
 

Większość ataków, na jakie narażeni są użytkownicy internetu, w tym także organizacje opierają się na socjotechnice.

 

Socjotechnika, znana też jako inżynieria społeczna to wszelkie formy manipulacji i techniki psychologiczne, których celem jest kłonienie ludzi do określonych działań, które często prowadzą do ujawnienia poufnych informacji, utraty danych, a w konsekwencji także środków finansowych.

 

Sprawcy ataków socjotechnicznych są niezwykle pomysłowi, a ich metody stają się coraz bardziej zaawansowane. Wykorzystują oni ludzkie słabości – emocje, presję czasu, stres – oraz starają się wzbudzić u swoich ofiar zaufanie i poczucie komfortu.

 

Dzięki temu osoby te stają się bardziej podatne na różnorodne formy manipulacji, a opowieści i scenariusze przedstawiane przez oszustów mogą wydawać się wiarygodne. Wystarczy chwila nieuwagi, pośpiech czy działanie pod presją, aby narazić siebie lub instytucję na incydent bezpieczeństwa.

 

·  Phishing
 

To oszustwo, w którym przestępcy stosując socjotechnikę podszywają się pod zaufane osoby, firmy czy instytucje chcąc wyłudzić dane lub pieniądze. W atakach phishingowych oszuści wykorzystują wiadomości e-mail, SMS i MMS, komunikatory czy połączenia telefoniczne. Przekaz, który kreują jest nacechowany presją czasu, ma wzbudzić lęk i strach przed negatywnymi konsekwencjami. W przypadku firm, tego typu ataki opierać się mogą na publicznie dostępnych danych, znajdujących się np. na stronach firm czy instytucji, w KRS czy CEIDG, które są wykorzystywane do uwiarygodnienia przedstawianej przez oszustów historii.
 

·  Ataki typu BEC
 

Jednym ze sposobów wyłudzenia zasobów firmowych są ataki typu Business Email Compromise, zwane atakami BEC. Przestępcy najczęściej podszywają się pod właścicieli firmy, osoby z zarządu, dyrektorów. Uprzednio zbierają jak najwięcej informacji o danej instytucji i ich pracownikach. Podając się za osobę na stanowisku, wysyłają fałszywe wiadomości (phishingowe) zawierające prośby o pilny przelew, weryfikację stanu konta czy zmianę rachunku do przelewów. Posiłkując się socjotechniką kreują wiadomości e-mail mające zmylić pracowników. Wymuszają na odbiorcy natychmiastowe działania, jak sprawdzenie załączników czy linków, a nawet prośby o zachowanie poufności i anonimowości. Adres nadawcy łudząco przypomina prawidłowy adres osoby, która faktycznie pracuje w danej firmy lub prawdziwy adres, który udało się przejąć cyberprzestępcom.
 

·  Ataki typu ransomware
 

Cyberprzestępcy do swojej działalności różne rodzaje szkodliwego oprogramowania. Może to być ransomware, czyli złośliwe oprogramowanie infekujące i blokujące system komputerowy. Ransomware ma za zadanie zaszyfrowanie wybranych plików. Wiąże się to z próbą wyłudzenia okupu. Kiedy dane ulegają zaszyfrowaniu niejednokrotnie pojawia się okno lub plik z instrukcją zawierającą określoną kwotę i konto do wpłaty. Zapłacenie okupu nie gwarantuje niczego! Ani odzyskania danych, ani tego, że nie zostaną upublicznione nawet tego, że po pewnym czasie przestępcy nie wrócą z dalszymi żądaniami.

 

 

Jak się chronić?

 

·  Regularnie przeprowadzaj szkolenia, ćwiczenia i warsztaty podnoszące kompetencje Twoich pracowników.

·  Dbaj o bezpieczeństwo poczty e-mail, programów i systemów – regularna i automatyczna aktualizacja systemów i programów,

·  Zadbaj o silne hasła[1]  do usług, z których korzystasz.

·  Stosuj weryfikację dwuetapową na swoich kontach online. Zrób to wszędzie, gdzie jest taka możliwość. To dodatkowa warstwa bezpieczeństwa, która utrudnia dostęp oszustom.

·  Zawsze weryfikuj nadawcę wiadomości. Kontaktuj się bezpośrednio z osobą, która zleca Ci zadania (np. telefonicznie).

·  Unikaj otwierania załączników lub korzystania z linków w wiadomościach e-mail pochodzących z niezweryfikowanych i nieznanych źródeł.

·  Nie lekceważ komunikatów i alertów bezpieczeństwa, jakie wyświetlają się podczas korzystania z sieci.

·  Zapewnij monitorowanie sieci na bieżąco i bezpieczne przechowywanie logów z urządzeń znajdującej się w niej. Pozwoli to na identyfikację ataku oraz skuteczne jego zablokowanie.

·  Systematycznie twórz kopie zapasowe danych, przechowuj je w bezpiecznym miejscu. Przetestuj też procedury przywracania danych, aby upewnić się, że są skuteczne.

·  Nie ulegaj presji czasu i autorytetu – oszuści wykorzystujący socjotechnikę nakłaniają do szybkiego, nieprzemyślanego działania.

·  Weryfikuj żądania zmiany numeru konta i potwierdzaj transakcje finansowe.

·  Uważaj na żądania poufnych informacji: oszuści często proszą o podanie hasła, numerów kart kredytowych czy dane bankowe. Nie udostępniaj tego typu informacji.
·  Wszystkie incydenty związane z Twoim bezpieczeństwem online zgłaszaj do zespołu CERT Polska.

 

Budowanie świadomość cyberbezpieczeństwa w okresie wakacyjnym - wykaz wsystkich artykułów, przejdź do strony

 

-----------------

[*] Więcej na temat działalności CERT Polska w 2023 roku dostępne na stronie CERT Polska: https://cert.pl/posts/2024/04/raport-roczny-2023/ [dostęp: 21.04.2024 r.]

[1] Więcej na temat silnych haseł dostępne na stronie CERT Polska: https://cert.pl/bezpieczne-hasla/ [dostęp: 21.04.2024 r.]

Pliki do pobrania