Proszę natychmiast zrobić przelew, bo stracimy kontrakt! – krzyczy prezes przez telefon. Prezes? Nie – to atak z użyciem deepfake’a. Przestępcy mają nowe sposoby na kradzieże z firmowych kont, oparte na socjotechnice wspieranej nowoczesnymi narzędziami. To oznacza jedno: konieczność zwiększenia czujności
Banki gwarantują bezpieczeństwo środków zgromadzonych na koncie firmowym. To jednak nie wystarczy, by je ochronić przed kradzieżą. Przedsiębiorcy, również we własnym zakresie, powinni zadbać o ich bezpieczeństwo.
Jak wynika z ostatniego Raportu Antyfraudowego BIK 2023, co piąta mała lub średnia firma znalazła się w ubiegłym roku na celowniku fraudsterów. Co trzecia firma, w wyniku pojedynczego oszustwa, straciła 100 tys. zł i więcej.
–Klienci najbardziej obawiają się ataków typu ransomware, czyli z wykorzystaniem popularnego w ostatnich latach złośliwego oprogramowania, które szyfruje dane. Liczba takich ataków rośnie z roku na rok. Natomiast z perspektywy oszustw i wyłudzeń o charakterze socjotechnicznym skierowanych na firmy, nie obserwujemy takiej tendencji. Widać natomiast, że zmieniają się narzędzia, które stosują przestępcy, są bardziej dopracowane i zawierają elementy systemów sztucznej inteligencji jak np. deepfake, za sprawą której zaciera się granica między prawdą a fałszem – mówi Magdalena Korona, inżynierka bezpieczeństwa ds. strategii i technologii antyfraudowych w mBanku.
Na fakturę i na prezesa
Profesjonalnie chronione systemy IT to jednak tylko jedna strona medalu. Równie dużą czujność należy zachować przed atakami socjotechnicznymi, czyli z wykorzystaniem technik służących do osiągnięcia określonych celów poprzez zaawansowaną manipulację. Jednym z takich scenariuszy jest wyłudzenie pieniędzy poprzez „fałszywą fakturę”. Przestępcy wysyłają spreparowany dokument, czyli taki, który zwykle trafia do księgowości, ale z podmienionym numerem rachunku bankowego. Dokument wygląda na wysłany przez zaufanego kontrahenta przedsiębiorcy. Wiadomość może nie wzbudzać żadnych podejrzeń poza tym, że na fakturze widnieje inny niż do tej pory numer rachunku bankowego.
Ataki na firmy można podzielić na dwie grupy:
– Ataki na infrastrukturę, mające na celu infekcję złośliwym oprogramowaniem i np. zażądanie okupu.
– Ataki socjotechniczne, gdy przestępcy podszywają się pod prezesów spółek, dyrektorów księgowych lub kontrahentów i skłaniają zmanipulowanego pracownika, aby ten sam przelał pieniądze na konto oszusta.
Innym często spotykanym rodzajem ataku jest ten „na prezesa”, kiedy z pracownikiem firmy kontaktuje się osoba, która podaje się za szefa firmy. Osoba, która przedstawia się jako prezes lub dyrektor, może podczas połączenia video wyglądać i brzmieć tak jak prawdziwa osoba. Potencjalnie każdy pracownik może się stać ofiarą, choć najczęściej jest nią osoba z działu księgowego. Fałszywy szef informuje o szansie na świetny kontrakt i konieczności dokonania pilnego przelewu celem dopięcia transakcji. Wywołuje przy tym presję, sugerując, że jak przelew nie nastąpi natychmiast, to firma straci ogromne pieniądze, a druga taka okazja może się już nie pojawić. Prosi przy tym często o zachowanie poufności i nieinformowanie innych pracowników. Wykorzystuje autorytet szefa, nakazując określone działania, niekiedy sugerując też surowe konsekwencje ich niewykonania. Tym samym ofiarom nie zostawia się czasu na analizę sytuacji i sprawdzenie wiarygodności polecenia. Przestępcy atakują różnymi kanałami. Fałszywy prezes może dzwonić z numeru rzeczywiście należącego do niego. Może pojawić się na video i wyglądać i brzmieć jak on. Może też wysłać e-maila ze skrzynki, której adres wygląda, jakby należał do prezesa. Mogą go odróżniać od prawdziwego trudne do wychwycenia detale, jak np. literka „o” w adresie zamieniona na cyfrę zero, albo litera „i” z literą „l”.
Bariery ochronne
Banki stosują wiele zabezpieczeń, aby przeciwdziałać okradaniu firm, na różnych poziomach. Od ochrony infrastruktury bankowej przez zabezpieczenia stron po monitoring transakcji.
– Zadaniem banku jest zabezpieczać pieniądze klienta i udostępniać dostęp do dysponowania nimi. Ale ataki socjotechniczne wychodzą poza ten schemat – mówi Magdalena Korona i podaje przykład wysłania fałszywego e-maila od kontrahenta o zmianie faktury.
– Pracownik firmy samodzielnie wykonuje przelew na konto oszusta, będąc przekonanym, że to rachunek kontrahenta. Nawet wstrzymanie takiego przelewu przez bank nie daje 100 proc. pewności, że uda się środki zabezpieczyć. Zmanipulowany pracownik firmy może potwierdzić, że przelew jest poprawny, i odrzuca wszelkie podejrzenia dotyczące odbiorcy rachunku. Kluczem jest fakt, że zmanipulowana osoba jest przekonana o prawidłowości transakcji i nie przyjmuje do wiadomości, że może to być wynik oszustwa. Podsumowując, nie wystarczą zabezpieczenia po stronie banku, potrzebne są aktywne działania po stronie firmy – tłumaczy przedstawicielka mBanku.
Choć o atakach socjotechnicznych jest coraz głośniej, to firmy wciąż padają ich ofiarą.
Chcemy jak najlepiej edukować o bezpieczeństwie. Niestety, ale najczęściej to dopiero próba ataku lub udany atak stają się przesłanką do podjęcia konkretnych działań w firmie, a to już zdecydowanie za późno. Polski sektor bankowy edukuje pracowników oraz klientów, przykładem jest kampania edukacyjna mBanku która właśnie trwa – mówi Magdalena Korona.
Powodem udanych ataków jest także niewystarczający wciąż poziom cyberbezpieczeństwa w firmach lub niekiedy nawet ich brak. O czym mowa?
– Firma powinna nadążać za tym, co dzieje się w świecie cyberzagrożeń, i reagować konkretnymi działaniami. Na przykład jak w bezpieczny sposób obsługiwać skrzynkę e-mailową, to tam w zdecydowanej większości zaczyna się atak. Co zrobić, gdy dostanę telefon z prośbą o pilny przelew od swojego prezesa? Co zrobić, gdy dostanę e-maila od kontrahenta, że zmienił numer rachunku do opłacania faktur? Do tego dochodzi brak regularnych, konkretnych, ciekawych i zrozumiałych szkoleń. Jeśli są, to albo nie obejmują wszystkich pracowników, albo nie jest zachowana ich cykliczność – zauważa Magdalena Korona.
Z danych BIK wynika, że aż 82,4 proc. przedsiębiorstw nie korzysta z usług lub narzędzi antyfraudowych. Ich odsetek wzrósł od 2022 r. o 2,6 pkt proc.
Tymczasem, przed atakami socjotechnicznymi można się skutecznie zabezpieczyć. Po otrzymaniu e-maila należy zwrócić uwagę na poprawność pisowni. Bywa, że treść nie zawiera polskich znaków albo są zamienione litery na cyfry, lub nastąpiło ich przestawienie. Częstym zjawiskiem jest również mało widoczna na pierwszy rzut oka zmiana w nazwie domeny, lub adresie nadawcy. Każda zmiana rachunku na fakturze powinna być potwierdzona pisemnie, najlepiej aneksem do umowy, lub innym kanałem kontaktu, np. dzwoniąc pod numer telefonu kontrahenta. Dobrze jest też stosować wieloosobowe autoryzacje dla wysokokwotowych transakcji.
Poza tym warto zadbać o bezpieczeństwo kont, włączając uwierzytelnienie dwuskładnikowe, na bieżąco aktualizując oprogramowanie na firmowych komputerach, zalecając używanie pracownikom silnych i zróżnicowanych haseł, pobieranie aplikacji z autoryzowanych sklepów, i ostrzegając przed wchodzeniem w każdego linka otrzymanego e-mailem lub SMS-em. Dobrze jest też uczulić pracowników na każdą wiadomość z prośbą o pieniądze, doradzić, by za każdym razem sprawdzili adresata. A więc jeśli był to prezes, oddzwonić do niego przed wykonaniem transakcji z prośbą o potwierdzenie, czy faktycznie ma być zrealizowana. Jeśli telefon był od CBŚ lub innej instytucji finansowej, a informowały o akcji w banku i związanej z tym konieczności przeniesienia pieniędzy na inny rachunek, nie bać się zadzwonić na policję czy do prawdziwego Centralnego Biura Śledczego.
– Procedury to tak naprawdę praca u podstaw. Trzeba usiąść, spisać ryzyka, jakie dziś identyfikują osoby zajmujące się bezpieczeństwem w firmie. Czy są wieloetapowe autoryzacje i czy pracownicy mają świadomość, z czego one wynikają, czy tylko „przeklikują” transakcje bez weryfikacji, czy wszystko jest w porządku? Ważne jest opracowanie schematów działania i procedur, udostępnienie tych procedur w łatwo dostępnym miejscu oraz ich egzekwowanie. Na pierwszy rzut oka to nie jest rozwiązanie kosztowne, ale wymaga nakładu pracy i pilnowania, np. przeglądu i aktualizacji. Szkolenia zewnętrzne są odpłatne, ale jest to koszt, który się opłaca. Należy zadbać o cykliczność szkoleń i wpisać je w DNA firmy. Klienci często wybierają firmy, którym ufają, a to zaufanie objawia się również w obszarze bezpieczeństwa – podkreśla Magdalena Korona, dodając, że banki wspomagają klientów w zabezpieczeniu się przed atakami hakerów.
– Regularnie prowadzimy kampanie ostrzegające ich przed najnowszymi zagrożeniami. Najczęściej są to kampanie w internecie, m.in. w mediach społecznościowych, w telewizji i radio. Firma to tak naprawdę pojedynczy ludzie, którzy mogą popełnić błąd, więc jesteśmy wszędzie tam, gdzie możemy edukować. W 2023 r. udostępniliśmy kryminalny serial audio na temat fałszywych inwestycji, który słucha się jak powieści kryminalnej. Dla klientów korporacyjnych planujemy udostępnić bezpłatne webinary z najnowszych zagrożeń, jakie mogą spotkać firmy – wymienia Magdalena Korona.
Firma powinna nadążać za tym, co dzieje się w świecie cyberzagrożeń, i reagować konkretnymi działaniami. Na przykład jak w bezpieczny sposób obsługiwać skrzynkę e-mailową, to tam w zdecydowanej większości zaczyna się atak – mówi Magdalena Korona, inżynierka bezpieczeństwa ds. strategii i technologii antyfraudowych w mBanku
partner