Jak pracownik otwiera drzwi cyberprzestępcom?

Na próby wyłudzenia danych jesteśmy narażeni praktycznie każdego dnia. Sposoby na zaległości w opłatach, czy fałszywe powiadomienia o dopłacie do przesyłki kurierskiej nikogo już nie powinny dziwić. Mimo, że o phishingu jest coraz głośniej, to liczba jego przypadków wcale nie spada. Jest wręcz odwrotnie, a metody przestępców stają się coraz bardziej wyrachowane. Być może właśnie dzięki wykorzystaniu ludzkich emocji cyberprzestępcy wciąż nas zaskakują, a ich ofiarami regularnie pada biznes i pracownicy. Jeśli firmy nie wdrożą działań obronnych, będą tracić nie tylko dane, ale pieniądze i reputacje – ostrzegają eksperci z Holm Security.

To prawdziwa historia z lokalnego podwórka. Choć słowo podwórko jest tylko obrazowe, bo dotyczy jednego z polskich biznesów, którego pracownicy stali się ofiarami pozorowanego ataku cybernetycznego i narazili nie tylko siebie, ale również firmę na ogromne straty. Ilu z nich dało się podejść? 100%. Tak, wszyscy pracownicy dali się nabrać. Ale zacznijmy od początku.

Cenne nagrody

Jest połowa 2022 roku. Wielkimi krokami zbliża się piłkarski mundial w Katarze, o którym mówi cały świat. Napędzona karuzela futbolowego oczekiwania napędza również cyberprzestępców, którzy od dawna, każde sportowe święto traktują jako okazję do zdobycia cennych danych i pieniędzy. A tych w piłce nożnej nie brakuje, szczególnie jeśli mówimy o kraju – gospodarzu Mistrzostw Świata – Katarze, do którego na wyjazd mogli sobie pozwolić tylko nieliczni. Tam gdzie pieniądze i uwaga wszystkich kibiców, tam również sponsorzy oferujący jak zawsze liczne konkursy i nagrody- również te najcenniejsze, czyli bilety na mundial. Takie atrakcyjne komunikaty pojawiły się w internecie także pracownikom jednej z polskich firm. Wystarczyło wypełnić formularz odpowiednimi danymi, by zyskać szansę na wygranie piłkarskich biletów.

By zwiększyć własne szansę, niektórzy z pracowników wypełniali formularz na służbowym sprzęcie podczas pracy wielokrotnie. Wszyscy z nich podawali dane, dzięki którym internetowi przestępcy mogliby zaszkodzić im, ich rodzinom, ale przede wszystkim wykorzystać je do ataku na pracodawcę, który w konsekwencji straciłby zasoby, renomę, pieniądze, a w najgorszym wypadku mógłby po prostu upaść – tłumaczy Patryk Ćwięczek, ekspert ds. cyberbezpieczeństwa Holm Security. 

Emocje rządzą 

Nikt z pracowników nie wygrał jednak biletów na mundial, ani nagród pocieszenia, ponieważ nie było żadnego konkursu. Nie było również prawdziwego ataku, a jedynie symulacja przeprowadzona na zlecenie pracodawcy, który chciał sprawdzić jak zachowają się pracownicy w podobnej sytuacji. Symulacja nie miała na celu nikogo napiętnować, ale zweryfikować, na ile zabezpieczenia techniczne biznesu mają uzupełnienie w czynniku ludzkim, który według ekspertów jest najsłabszym ogniwem w zakresie cyberbezpieczeństwa.

Nawet jeśli firma będzie korzystała z najnowszych rozwiązań w dziedzinie bezpieczeństwa cyfrowego, to nie może zapominać o tym, że to pracownicy są bardzo często furtką dla internetowych przestępców, którzy dzięki podstępowi nie mają problemów z otwarciem wirtualnych drzwi do firmy oraz jej zasobów. Cyberprzestępcy stosują wyrachowane metody socjotechniczne i wykorzystują ludzkie emocje, by uśpić ich czujność. Dlatego jednym z elementów bezpieczeństwa wszystkich organizacji powinna być systematyczna edukacja pracowników, ale również regularna weryfikacja tej wiedzy właśnie poprzez symulowanie różnych scenariuszy ataków. Nie od dziś wiadomo, że praktyka czyni mistrza – dodaje Patryk Ćwięczek z Holm Security.

Trening świadomości w 4 krokach

Uzbrojeni w wiedzę pracownicy mogą być najlepszą tarczą przed cyberzagrożeniami i technikami stosowanymi przez internetowych przestępców. Dane za ubiegły rok są jeszcze zbierane, ale wg informacji CERT Polska liczba ataków phishingowych w 2021 roku zwiększyła się o 196%. To pokazuje skalę problemu. Pomimo, że w dzisiejszych czasach ataki socjotechniczne stają się coraz trudniejsze do rozpoznania (z badania dla BIK wynika, że 80% Polaków nie potrafi ocenić, czy odwiedzana przez nich strona jest bezpieczna*) wielu z nich można uniknąć dzięki wzmacnianiu odpowiednich nawyków i ich testowaniu.

  1. Zastanów się w jaki sposób ktoś może zaatakować Twoją organizację i upewnij się, że zespół zna procedury bezpieczeństwa IT.
  2. Zachęcaj pracowników do kwestionowania nietypowych i podejrzanych próśb, nawet jeśli pochodzą od innych pracowników firmy.
  3. Edukuj pracowników, aby wiedzieli, jakie taktyki stosują cyberprzestępcy do wyłudzania danych.
  4. Przeprowadzaj symulacje przypominające ataki phishingowe, by stale zwiększać bezpieczeństwo pracowników oraz firmy.

Źródło:

* https://media.bik.pl/informacje-prasowe/722177/dwie-trzecie-polakow-nie-korzysta-ani-nigdy-nie-korzystalo-z-uslug-prewencyjnych-przed-wyludzeniem-kredytu-na-wypadek-kradziezy-ich-danych