Dyrektorzy na celowniku. Ale nikt o tym nie mówi

Aż dwie trzecie menedżerów jest bezpośrednim celem cyberataków. Dla przestępców stanowią cenne źródło informacji. Niestety, wiele tych ukierunkowanych ataków nie jest ujawniana – pracownicy, wiedząc, że zrobili błąd, wpadając w sidła hakera, boją się to zgłaszać.

Publikacja: 20.09.2024 18:04

Eksperci ds. bezpieczeństwa IT przekonują, iż w firmach potrzebna jest zmiana kulturowa, która przeł

Eksperci ds. bezpieczeństwa IT przekonują, iż w firmach potrzebna jest zmiana kulturowa, która przełamie obawy pracowników przed karą czy zawstydzeniem związanym z faktem, że przez ich błąd pracodawca został narażony na cyberincydent.

Foto: AdobeStock

Kampanie hakerskie są coraz bardziej wyrafinowane i celowane. Eksperci wskazują, że cyberprzestępcy stawiają na taktykę rozpoznania, analogiczną do tej stosowanej w świecie offline przez włamywaczy. Jak zauważa Michał Łabęcki z G Data Software, niezwykle rzadko wybierają dom na chybił trafił, a z reguły najpierw szukają słabych punktów i oceniają, gdzie można zdobyć najwięcej łupów przy minimalnym ryzyku i wysiłku. Nie inaczej wygląda to w przypadku cyberataków.

40 %

pracowników jako przyczynę „złapania się” na tzw. atak phishingowy podaje zmęczenie i rozproszenie uwagi – wynika z badań firmy Tessian Research.

– Część oszustów preferuje sprofilowane ataki, takie jak na przykład BEC (Business E-mail Compromise – red), bowiem przynoszą im najwyższe profity. W tym przypadku cyberprzestępcy wykorzystują prawdziwe dane właścicieli firm i osób z zarządów przedsiębiorstw, podszywając się pod nich i wysyłając e-maile do kontrahentów lub podwładnych – komentuje Łabęcki. – Wiadomości kierowane są najczęściej do księgowych, dyrektorów finansowych i przedstawicieli zespołów płatności. W e-mailach proszą m.in. o zmianę numeru rachunku do przelewu, pilne uregulowanie płatności na wskazany adres, a czasami dostęp do poufnych informacji – kontynuuje.

1760 %

– o tyle – jak szacuje Perception Point – wzrosła w ciągu roku liczba ataków BEC wykorzystujących socjotechnikę w celu pozyskania wrażliwych informacji bądź wyłudzenia przelewów.

Taka metoda zdaje egzamin. BEC, czyli rodzaj oszustwa, w którym atakujący wykorzystują socjotechnikę w celu pozyskania wrażliwych informacji z danej firmy lub instytucji bądź wyłudzenia przelewów na wysokie kwoty, to dziś jedno z najszybciej zyskujących na znaczeniu zagrożeń. Z analiz Perception Point wynika, iż w ciągu roku liczba tego typu ataków skoczyła o 1760 proc.

Cyberoszuści potrafią podszyć się pod prezesa lub członka zarządu

Skala problemu jest gigantyczna. Jeszcze w 2022 r. Business E-mail Compromise stanowiły ledwie 1 proc. wszystkich cyberataków. W 2023 r. był to już oszałamiający pułap sięgający niemalże 19 proc. Nic dziwnego, że przed BEC ostrzega nawet Komisja Nadzoru Finansowego.

„Wiadomości e-mail to świetna droga ataku na pracowników większych i mniejszych firm, prywatnych i publicznych organizacji, z każdego sektora” – alarmuje KNF. I podaje, by zachować uwagę, bo cyberoszuści potrafią podszyć się pod prezesa lub członka zarządu, wysyłają wiadomość e-mail do pracownika działu finansowego, informując o potrzebie wykonania pilnego przelewu.

Internetowi przestępcy tworzą również fałszywe faktury i rozsyłają z rzekomą potrzebą pilnej zapłaty. W innym ze scenariuszy, wymienianym przez KNF ku przestrodze, podszywają się pod prawnika, informując o rzekomym działaniu w imieniu właściciela firmy, starając się wymusić konkretne działania.

Sposobów jest wiele, ale – co gorsza – okazują się one skuteczne. Paweł Ładna, cybersecurity consultant z Safesqr, firmy specjalizującej się w cyberbezpieczeństwie, twierdzi, że szczególnie ostrożna musi być kadra kierownicza wyższego szczebla. Jego zdaniem polowanie na menedżerów mających dostęp do informacji krytycznych dla bezpieczeństwa firmy trwa w sieci w najlepsze. Przyznaje, że dyrektorzy stali się jednym z ulubionych celów ataków, a bez skutecznych praktyk w zakresie szkoleń i zabezpieczeń dla najważniejszych osób w firmie tacy pracownicy będą podatni na takie kampanie.

Czytaj więcej

Cyberzagrożeń przybywa, a specjalistów brakuje

Ładna wspomina przy tym historię z początku br., gdy brytyjska firma Arup straciła 25 mln USD w wyniku wyrafinowanego podstępu typu deepfake. Członek zespołu finansowego z Hongkongu padł ofiarą oszustwa, w którym cyberprzestępcy skopiowali wygląd i głos dyrektora finansowego firmy.

Następnie zaprosili tego pracownika na wideokonferencję z udziałem innych, fałszywych kolegów z działu. Początkowe obawy pracownika zostały rozwiane, gdy zobaczył i usłyszał dyrektora finansowego oraz innych współpracowników, rozmawiających o transakcji. W efekcie, zgodnie z poleceniami fałszywego dyrektora, przelał wspomnianą sumę cyberprzestępcom.

– Ten przykład ilustruje, że kadra zarządzająca w firmie staje się dziś celem oszustw zarówno tych z użyciem deepfake’ów generowanych przez sztuczną inteligencję, jak i ataków na bezpieczeństwo biometryczne czy kradzieży tożsamości – przestrzega.

Kluczowe szkolenia kadry zarządzającej w kwestiach cyberbezpieczeństwa

Badania „GetApp 2024 Executive Cybersecurity” pokazują, iż w ciągu ostatnich 18 miesięcy prawie dwóch na trzech przedstawicieli kadry kierowniczej przynajmniej raz padło ofiarą cyberataku. Na nic w takiej sytuacji zdają się cyfrowe zabezpieczenia, bowiem i tak najsłabszym ogniwem jest człowiek. – Wiele firm stara się łatać luki w swoich zabezpieczeniach, dbają o to, by hasła nie były słabe, oprogramowanie było regularnie aktualizowane, a pracownicy odpowiednio szkoleni. Wystarczy jednak, że pracownik nie zachowa się zgodnie z procedurami, by firma była narażona na niebezpieczeństwo. A największe wtedy, kiedy ten pracownik jest przedstawicielem kadry kierowniczej – mówi Natalia Zajic z Safesqr. I radzi, by w przedsiębiorstwach standardem stało się szkolenie kadry zarządzającej w kwestiach cyberbezpieczeństwa.

Niestety badanie GettApp nie napawa optymizmem: 37 proc. ankietowanych przyznaje, że w ich organizacjach nie są prowadzone bowiem żadne dodatkowe szkolenia z tego zakresu adresowane do menedżerów.

Sytuacja jest więc trudna, bo możliwości hakerów są coraz większe, a cyberodporność przedsiębiorstw pozostawia wiele do życzenia. Co więcej, faktyczna skuteczność ataków również nie do końca jest znana. Z prostego powodu – firmy nie chwalą się tym, że padły ofiarą cyberprzestępców, a sami pracownicy nie ujawniają pracodawcy, że „wpuścili” hakera.

„Trening” czujności poprzez symulacje ataków

I ta ostatnia kwestia to kolejne potężne wyzwanie. Z raportu ThinkCyber wynika bowiem, że nawet połowa pracowników na świecie obawia się zgłaszać incydenty związane z cyberzagrożeniami ze względu na możliwe konsekwencje. Według badań aż 31 proc. pracowników w 2023 r. popełniło błędy, które mogły mieć wpływ na bezpieczeństwo IT ich miejsca pracy (chodzi np. o phishing i kliknięcie linku lub pobranie złośliwej zawartości czy utratę służbowego urządzenia służbowego bądź udostępnianie haseł współpracownikom).

Zdaniem Leszka Tasiemskiego, eksperta ds. cyberbezpieczeństwa w firmie WithSecure, pracownicy stają obecnie przed zadaniem praktycznie niemożliwym do wykonania – w natłoku setek wiadomości, e-maili, linków i załączników muszą wyłapać ten jeden, w który absolutnie nie należy klikać. – A warto pamiętać, że – aby zwiększać skuteczność ataków – przestępcy w swoich wiadomościach nakładają na ofiary presję czasową, np. wskazują, że trzeba się spieszyć i zareagować natychmiast. Przez to odbiorca takiego e-maila działa pod wpływem impulsu i strachu, często nie mając możliwości zastanowienia się – tłumaczy.

Jak zaznacza, w tej sytuacji firmy powinny „trenować” czujność m.in. poprzez symulacje ataków. – Jednak to przede wszystkim technologia powinna ułatwiać użytkownikom zachowanie bezpieczeństwa, nawet jeżeli popełnią błąd. Link czy załącznik muszą zostać przeskanowane, zanim wylądują w skrzynce odbiorczej – wyjaśnia Tasiemski. I podkreśla, że najistotniejsze jest zachęcanie zatrudnionych w firmie do raportowania wszelkich incydentów, nawet jeżeli wynikają one z ich nieostrożności.

Technologie
Zwiastun nowego „Wiedźmina” ma już kilka milionów odsłon
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Technologie
Pogrom w grach. 11 bit studios ciągnie branżę w dół
Technologie
11 bit i PCF. Czy w grach dzieje się coś złego?
Technologie
Premier: TVN i Polsat na listę spółek pod ochroną
Materiał Promocyjny
Cyfrowe narzędzia to podstawa działań przedsiębiorstwa, które chce być konkurencyjne
Technologie
Hiobowe wieści z 11 bit studios. Wiemy o którą grę chodzi
Technologie
PCF Group nie pozyskało finansowania. Co zrobi?