Przedsiębiorstwo jest bardziej łakomym kąskiem, bo można mu ukraść więcej pieniędzy, niż zwykłemu człowiekowi. Dlatego to na pracownikach firmy – szczególnie specjalistach od finansów i księgowości spoczywa dużo większa odpowiedzialność. Dziennie wykonują dziesiątki przelewów. Chwila nieuwagi i pojawią się kłopoty.

Na co uwrażliwić pracowników? Na co zwrócić uwagę przy wykonywaniu operacji finansowych?

Jednym z najpopularniejszych ataków jest phishing. Przypomina trochę łowienie ryb. Haker zarzuca wiele przynęt (w tym przypadku maili lub SMS-ów) i czeka sprawdzając, kogo udało się złowić. Istotą phishingu jest przykucie uwagi adresata i zdobycie jego zaufania podszywając się pod zaufaną instytucję np. bank, firmę telekomunikacyjną, kuriera.

Przykładowy scenariusz phishingu: pracownik otwiera maila z alarmującym tytułem „wykryliśmy próbę kradzieży pieniędzy z twojego konta”. Nadawca zaleca zalogować się do systemu bankowości elektronicznej. Dla wygody podaje link. Po kliknięciu ofiara przekierowana jest na stronę logowania. Wygląda na autentyczną. Pracownik wpisuje login i hasło. Właśnie nieświadomie przekazał hakerowi narzędzia potrzebne do kradzieży.

Inny scenariusz. Pracownik dostaje maila: przypomnienie o opłacie zaległej faktury. Nadawca wzywa do natychmiastowej zapłaty, strasząc przy okazji windykacją. Dla wygody, w załączniku jest faktura. Pracownik pobiera załącznik i tym samym jego komputer zostaje zainfekowany. Co dalej? Najczęściej taki wirus w żaden sposób się nie ujawnia, ale przy realizacji płatności jest w stanie podmienić numery rachunku odbiorcy na konto „słupa. Lub – w wersji ekstremalnej - podmienia nie tyle numer rachunku, co całą zawartość przeglądarki. Pracownik widzi stronę swojego banku, ale wirus przesyła do hakera dane logowania, ponadto – podstawia komunikat żądający podania kodu autoryzacyjnego z SMS-a lub tokenu, w celu np. „potwierdzenia tożsamości”. Haker do kradzieży niczego więcej nie potrzebuje.

Popularną ostatnio metodą oszustów jest tzw. vishing (voice phishing). Do osoby odpowiedzialnej za firmowe finanse dzwoni złodziej podający się za pracownika banku. Chce sprawdzić poprawność danych klienta w ramach rutynowej kontroli, albo dzwoni z ostrzeżeniem, że doszło do zablokowania firmowego rachunku. Grzecznie prosi o kod z narzędzia autoryzacyjnego - karty zdrapki lub sms. Pracownik przeświadczony, że rozmawia z bankiem, podaje dane.

Nigdy nie otwieraj załączników ani linków w mailach niewiadomego pochodzenia
Jednorazowe kody z SMS-a lub tokena służą głównie do zatwierdzenia przelewu. Banki nie proszą o nie w celu dodatkowej weryfikacji np. Twojego połączenia internetowego czy adresu IP.
Przed zalogowaniem, sprawdź, czy zgadza się adres www, oraz czy na pasku adresu jest zielona ikona kłódki.
Program antywirusowy musi być stale aktywny.

Antywirus to nie wszystko

Co zrobić, by nie dać się złowić i nie narazić firmy na straty? Najsłabszym ogniwem w cyberobronie przedsiębiorstwa jest człowiek. Dlatego pracownicy powinni zdawać sobie sprawę, jakie są popularne metody ataku. Jednocześnie, nawet świadomy pracownik nie zastąpi programu antywirusowego. Oba te elementy muszą ze sobą współgrać.

Pracownik nigdy nie powinien klikać w załączniki i linki niewiadomego pochodzenia. Jeśli już to zrobi przez nieuwagę, powinien natychmiast powiadomić dział informatyczny firmy oraz bank i wylogować się z newralgicznych aplikacji jak poczta czy konto bankowe oraz odłączyć komputer od sieci.

Trzeba zachować tez czujność potwierdzając przelewy. Jeśli firma korzysta z kodów SMS, kluczowe jest sprawdzenie jego treści – czy zgadza się numer rachunku, na jaki mają zostać przelane pieniądze. Warto zaopatrzyć firmę w osobną komórkę, która służy tylko do odbierania takich SMS-ów. Paradoksalnie, im starszy będzie aparat, tym bezpieczniejszy, bo trudniejszy do zhakowania.

Pilnujmy się też w rozmowach telefonicznych. Bank nigdy nie żąda od użytkownika podania numeru karty, loginu czy hasła, chyba, że rozmowa jest prowadzona na prośbę klienta. Jeśli już weryfikuje rozmówcę, pyta raczej o PESEL lub adres zameldowania. Bank nigdy też nie rozsyła informacji i zablokowaniu konta czy żądań natychmiastowego zalogowania się do systemu.

Na koniec kilka podstawowych rad. Po otworzeniu panelu logowania do bankowości elektronicznej, przed wpisaniem potrzebnych danych należy spojrzeć w lewy górny róg ekranu, tuż przy pasku z adresem WWW. Jeśli jest tam zielona ikonka kłódki, oznacza to, że połączenie między komputerem a serwerem banku jest szyfrowane i bezpieczne – czyli mamy do czynienia z autentyczną stroną banku, nie podróbką. Przelewy należy wykonywać z firmowego komputera z bezpiecznym połączeniem internetowym. Nigdy np. kawiarnianego Wi-Fi.

Marcin Urbański,
kierownik zespołu przedsiębiorstw w 3 oddziale PKO Banku Polskiego w Gdańsku

Phising to zjawisko związane z wyłudzaniem danych. Przestępcy, którzy chcą uzyskać dane przedsiębiorców, wysyłają do nich maile z prośbą o zalogowanie się w systemie transakcyjnym. Przede wszystkim musimy zweryfikować, skąd wiadomość do nas trafia. Jeżeli adres mailowy jest nietypowy albo np. pochodzi z domeny zarejestrowanej za granicą, a jesteśmy klientami banku polskiego, to może to być dla nas wskazówka, by zachować wzmożoną czujność. Na pewno pod żadnym pozorem nie należy odpowiadać na podejrzane wiadomości i nie korzystać z podanego linku. Jeśli już klikniemy i otworzy nam się strona „banku” , to na pewno nie powinniśmy wpisywać tam danych identyfikacyjnych firmy, loginu ani haseł do konta. Jeżeli mamy do czynienia z próbą wyłudzenia danych skontaktujmy się ze swoim doradcą lub z bankiem i przekażmy mu informację na temat tego, że padliśmy ofiarą oszustów. Banki w takich momentach odpowiednio reagują i powiedzą co należy zrobić.

Kamil Góra