Dyrektorzy na celowniku. Ale nikt o tym nie mówi

Kampanie hakerskie są coraz bardziej wyrafinowane i celowane. Eksperci wskazują, że cyberprzestępcy stawiają na taktykę rozpoznania, analogiczną do tej stosowanej w świecie offline przez włamywaczy. Jak zauważa Michał Łabęcki z G Data Software, niezwykle rzadko wybierają dom na chybił trafił, a z reguły najpierw szukają słabych punktów i oceniają, gdzie można zdobyć najwięcej łupów przy minimalnym ryzyku i wysiłku. Nie inaczej wygląda to w przypadku cyberataków.

– Część oszustów preferuje sprofilowane ataki, takie jak na przykład BEC (Business E-mail Compromise – red), bowiem przynoszą im najwyższe profity. W tym przypadku cyberprzestępcy wykorzystują prawdziwe dane właścicieli firm i osób z zarządów przedsiębiorstw, podszywając się pod nich i wysyłając e-maile do kontrahentów lub podwładnych – komentuje Łabęcki. – Wiadomości kierowane są najczęściej do księgowych, dyrektorów finansowych i przedstawicieli zespołów płatności. W e-mailach proszą m.in. o zmianę numeru rachunku do przelewu, pilne uregulowanie płatności na wskazany adres, a czasami dostęp do poufnych informacji – kontynuuje.

Taka metoda zdaje egzamin. BEC, czyli rodzaj oszustwa, w którym atakujący wykorzystują socjotechnikę w celu pozyskania wrażliwych informacji z danej firmy lub instytucji bądź wyłudzenia przelewów na wysokie kwoty, to dziś jedno z najszybciej zyskujących na znaczeniu zagrożeń. Z analiz Perception Point wynika, iż w ciągu roku liczba tego typu ataków skoczyła o 1760 proc.

Cyberoszuści potrafią podszyć się pod prezesa lub członka zarządu

Skala problemu jest gigantyczna. Jeszcze w 2022 r. Business E-mail Compromise stanowiły ledwie 1 proc. wszystkich cyberataków. W 2023 r. był to już oszałamiający pułap sięgający niemalże 19 proc. Nic dziwnego, że przed BEC ostrzega nawet Komisja Nadzoru Finansowego.

„Wiadomości e-mail to świetna droga ataku na pracowników większych i mniejszych firm, prywatnych i publicznych organizacji, z każdego sektora” – alarmuje KNF. I podaje, by zachować uwagę, bo cyberoszuści potrafią podszyć się pod prezesa lub członka zarządu, wysyłają wiadomość e-mail do pracownika działu finansowego, informując o potrzebie wykonania pilnego przelewu.

Internetowi przestępcy tworzą również fałszywe faktury i rozsyłają z rzekomą potrzebą pilnej zapłaty. W innym ze scenariuszy, wymienianym przez KNF ku przestrodze, podszywają się pod prawnika, informując o rzekomym działaniu w imieniu właściciela firmy, starając się wymusić konkretne działania.

Sposobów jest wiele, ale – co gorsza – okazują się one skuteczne. Paweł Ładna, cybersecurity consultant z Safesqr, firmy specjalizującej się w cyberbezpieczeństwie, twierdzi, że szczególnie ostrożna musi być kadra kierownicza wyższego szczebla. Jego zdaniem polowanie na menedżerów mających dostęp do informacji krytycznych dla bezpieczeństwa firmy trwa w sieci w najlepsze. Przyznaje, że dyrektorzy stali się jednym z ulubionych celów ataków, a bez skutecznych praktyk w zakresie szkoleń i zabezpieczeń dla najważniejszych osób w firmie tacy pracownicy będą podatni na takie kampanie.

Czytaj więcej

Technologie

Cyberzagrożeń przybywa, a specjalistów brakuje

Branża cyberbezpieczeństwa stoi przed poważnymi wyzwaniami – wedle raportu „Cybersecurity Assessm...

Ładna wspomina przy tym historię z początku br., gdy brytyjska firma Arup straciła 25 mln USD w wyniku wyrafinowanego podstępu typu deepfake. Członek zespołu finansowego z Hongkongu padł ofiarą oszustwa, w którym cyberprzestępcy skopiowali wygląd i głos dyrektora finansowego firmy.

Następnie zaprosili tego pracownika na wideokonferencję z udziałem innych, fałszywych kolegów z działu. Początkowe obawy pracownika zostały rozwiane, gdy zobaczył i usłyszał dyrektora finansowego oraz innych współpracowników, rozmawiających o transakcji. W efekcie, zgodnie z poleceniami fałszywego dyrektora, przelał wspomnianą sumę cyberprzestępcom.

– Ten przykład ilustruje, że kadra zarządzająca w firmie staje się dziś celem oszustw zarówno tych z użyciem deepfake’ów generowanych przez sztuczną inteligencję, jak i ataków na bezpieczeństwo biometryczne czy kradzieży tożsamości – przestrzega.

Kluczowe szkolenia kadry zarządzającej w kwestiach cyberbezpieczeństwa

Badania „GetApp 2024 Executive Cybersecurity” pokazują, iż w ciągu ostatnich 18 miesięcy prawie dwóch na trzech przedstawicieli kadry kierowniczej przynajmniej raz padło ofiarą cyberataku. Na nic w takiej sytuacji zdają się cyfrowe zabezpieczenia, bowiem i tak najsłabszym ogniwem jest człowiek. – Wiele firm stara się łatać luki w swoich zabezpieczeniach, dbają o to, by hasła nie były słabe, oprogramowanie było regularnie aktualizowane, a pracownicy odpowiednio szkoleni. Wystarczy jednak, że pracownik nie zachowa się zgodnie z procedurami, by firma była narażona na niebezpieczeństwo. A największe wtedy, kiedy ten pracownik jest przedstawicielem kadry kierowniczej – mówi Natalia Zajic z Safesqr. I radzi, by w przedsiębiorstwach standardem stało się szkolenie kadry zarządzającej w kwestiach cyberbezpieczeństwa.

Niestety badanie GettApp nie napawa optymizmem: 37 proc. ankietowanych przyznaje, że w ich organizacjach nie są prowadzone bowiem żadne dodatkowe szkolenia z tego zakresu adresowane do menedżerów.

Sytuacja jest więc trudna, bo możliwości hakerów są coraz większe, a cyberodporność przedsiębiorstw pozostawia wiele do życzenia. Co więcej, faktyczna skuteczność ataków również nie do końca jest znana. Z prostego powodu – firmy nie chwalą się tym, że padły ofiarą cyberprzestępców, a sami pracownicy nie ujawniają pracodawcy, że „wpuścili” hakera.

„Trening” czujności poprzez symulacje ataków

I ta ostatnia kwestia to kolejne potężne wyzwanie. Z raportu ThinkCyber wynika bowiem, że nawet połowa pracowników na świecie obawia się zgłaszać incydenty związane z cyberzagrożeniami ze względu na możliwe konsekwencje. Według badań aż 31 proc. pracowników w 2023 r. popełniło błędy, które mogły mieć wpływ na bezpieczeństwo IT ich miejsca pracy (chodzi np. o phishing i kliknięcie linku lub pobranie złośliwej zawartości czy utratę służbowego urządzenia służbowego bądź udostępnianie haseł współpracownikom).