Cyberbezpieczeństwo w firmach. Jak nie dać się oszukać?

Samotny, zakapturzony człowiek, pochylający się w ciemnym pokoju nad klawiaturą komputera, na której pisze z niewiarygodną prędkością. Na ekranie przewijają się setki linijek kodu, czemu towarzyszą charakterystyczne "komputerowe" dźwięki.

- To obraz cyberprzestępcy, który często pokazują nam sensacyjne filmy. I który ma niewiele wspólnego z rzeczywistością – mówi Magdalena Korona, Inżynierka bezpieczeństwa ds. strategii i technologii antyfraudowych w mBanku.

Prawdziwi cyberprzestępcy to osoby, które żyją z cyberprzestępczości. Dziś to profesjonalnie zorganizowane grupy, które mają środki pozwalające im na to, by stosować zaawansowaną socjotechnikę. I to na tyle skutecznie, że istnieje coraz mniej firm, które nie odnotowały (a często raczej – nie zauważyły) ataku na swoje komputery czy pracowników.

Jak wynika z danych KPMG, w 2022 roku w Polsce aż 58 procent przedsiębiorstw odnotowało przynajmniej jeden incydent polegający na naruszeniu bezpieczeństwa. 33 procent firm zauważyło wzrost intensywności prób naruszenia bezpieczeństwa.

Wśród oszustw na polu firmowym zdarzają się ataki precyzyjnie ukierunkowane na konkretną firmę, mające na celu kradzież tajemnic przedsiębiorstwa czy własności intelektualnej. Jednak większość ma charakter statystyczny - przestępcy zarzucają szeroką sieć, licząc na to, że ktoś się złapie.

– Możemy mówić o atakach typowo masowych jak wysyłka fałszywych pism od głównego urzędu statystycznego czy urzędu patentowego. Są one wysyłane "na ślepo" – mówi Magdalena Korona – Z drugiej strony mamy takie ataki jak podszycia pod funkcjonariuszy policji. Oszuści przekonują pracownika, że wiedzą o planowanym ataku hakerskim na firmę i aby uratować jej pieniądze, trzeba je wpłacić na specjalne konto. Osoba, która odbiera taki telefon, proszona jest o ścisłą dyskrecję z uwagi na poufny charakter działań służb.

Jednym z najczęstszych i najbardziej znanych scenariuszy oszustwa jest metoda "na fałszywą fakturę". Oszuści wysyłają dokument z podmienionym numerem rachunku docelowego. Jeśli firma nie zweryfikuje tego numeru przed dokonaniem płatności, pieniądze trafiają na konto przestępców.

Inną metodą jest podszywanie się pod kontrahenta. To rodzaj rozbudowanego i bardziej zaawansowanego ataku "na fakturę". W tym przypadku przestępcy uzyskują dostęp do skrzynek mailowych pracowników, co pozwala im na wgląd w działalność firmy, a nawet komunikację z tymi pracownikami. Dzięki temu mogą poznać działania firmy i wystawić fałszywą fakturę, która wydaje się być w pełni autentyczna. Co więcej, może być wręcz wystawiona za towar czy usługi rzeczywiście zamówione. Jednak pracownicy są cały czas w kontakcie z oszustami i to na ich konto są przelewane środki. A te – znikają bezpowrotnie, jaki rzekomy podwykonawca.

Chociaż metody oszustw ewoluują, ich podstawowy schemat się nie zmienia. Przestępcy wykorzystują ludzką naturę, aby osiągnąć swoje cele. Grają na emocjach – głównie strachu – i naciskają na pośpiech, co sprzyja przeoczeniu szczegółów. Przykładem jest atak "na prezesa", w którym oszust podaje się za szefa firmy i próbuje przekonać pracownika do przeprowadzenia transakcji. Twierdzi na przykład, że jest w trakcie załatwiania najważniejszej umowy w historii firmy i natychmiast musi mieć przelaną jakąś kwotę na wskazane konto.

– Są już przypadki wykorzystania próbki głosu, aby podszyć się pod prezesa firmy i w ten sposób uwiarygodnić się przez telefon przed niczego niepodejrzewającym pracownikiem – wyjaśnia Magdalena Korona. – Fałszywy prezes stosuje dużą presję czasową, aby pracownik nie miał czasu realizować przelewu za pomocą standardowego procesu, tylko jak najszybciej. Oszust wykorzystuje strach, mówiąc na przykład "jak pani nie zleci przelewu jeszcze dziś, osobiście panią zwolnię". Co ważne, ataki mają miejsce zwłaszcza wtedy, gdy prawdziwy prezes jest trudno dostępny (np. jest w delegacji zagranicznej lub na urlopie), aby utrudnić pracownikowi kontakt z nim. Oszust dla uwiarygodnienia może też wysłać wiadomość e-mail, która wygląda jak wysłana przez prezesa firmy, tylko w adresie nadawcy znajdują się mało widoczne literówki, które trudno w pośpiechu zauważyć.

– Bank odpowiada za realizację transakcji zleconych przez klienta. Temu służą zabezpieczenia w postaci poufnego loginu i tokenu, znanego tylko klientowi – wyjaśnia Magdalena Korona. – Dodatkowo bank prowadzi identyfikację zleceń, co do których ma podejrzenia, że mogły zostać zlecone przez osoby nieuprawnione albo przez klienta, który zlecił transakcję pod wpływem oszusta. Ale to bardzo ważne, by firma dokonała wszelkich starań, aby pracownik tej firmy zlecał właściwe operacje.

Zatem kluczem do obrony przed takimi atakami jest edukacja pracowników i budowanie świadomości o potencjalnych zagrożeniach.

– Potrzebne są cykliczne szkolenia. Jednorazowe nie wystarczają, bo ludzie w firmie się zmieniają. Podobnie jest z zagrożeniami, które ewoluują. Oszuści łączą różne metody oraz stosują najnowsze technologie, aby uwiarygodnić się w oczach klienta. Pracownicy muszą poznawać najnowsze metody ataku, np. podszywanie się pod funkcjonariuszy policji czy doradców od lokat firmowych i wyłudzanie przelewów na kontrolowane przez nich numery rachunków.

Jak dodaje ekspertka, konieczne jest przygotowanie konkretnych procedur w firmie, które muszą być bezwzględnie stosowane.

– Zanim faktura, wezwanie do zapłaty czy inna płatność zostanie zrealizowana, powinna być sprawdzona przez inne osoby czy wydziały kontrolujące w firmie, czy numer konta i pozostałe dane się zgadzają i skąd pochodzi faktura. Pracownicy jednostek kontrolnych muszą być również regularnie przeszkalani – tłumaczy Magdalena Korona.

mBank od lat edukuje swoich klientów w zakresie cyberbezpieczeństwa. Przekazuje zalecenia przez aplikację mobilną i serwis bankowości elektronicznej, prowadzi kampanie społeczne w tej dziedzinie.

– Pracownicy mBanku są regularnie przeszkalani i służą pomocą w każdym przypadku, gdy klient ma jakiekolwiek wątpliwości związane z transakcjami lub podejrzenia, które potrzebuje skonsultować – zapewnia ekspertka mBanku.

W tak trudnych czasach, gdy liczba zagrożeń rośnie, na właścicielach i szefach firm spoczywa ogromna odpowiedzialność za właściwe przygotowanie personelu do reagowania na niespodziewane zdarzenia. Czynnik ludzki jest często najbardziej podatnym na ataki punktem, a edukacja i świadomość są kluczem do zabezpieczenia się przed nimi. Współpraca z instytucjami, w tym z bankami, które aktywnie uczą i wspierają swoich klientów w zakresie cyberbezpieczeństwa, jest również niezbędna.

W świecie cyfrowym, w którym żyjemy, wiedza i świadomość są najmocniejszą tarczą przeciwko cyberzagrożeniom. Dlatego też inwestycja w szkolenia pracowników, wdrażanie skutecznych procedur i ciągłe monitorowanie zagrożeń to nie tylko kwestia bezpieczeństwa, ale także odpowiedzialności wobec klientów, pracowników i samej firmy.