Pandemia COVID-19 spowodowała, że nawet najwięksi technosceptycy zostali zmuszeni do korzystania z komputerów i sieci. W związku z tym pojawiła się nowa grupa internautów, z reguły gorzej przygotowanych do bezpiecznego korzystania z technologii. Wśród nich są nie tylko (jak to stereotypowo jest prezentowane w mediach) seniorzy, ale także przedstawiciele small biznesu czy właściciele firm rodzinnych, którzy w nowej sytuacji zaczęli korzystać z elektronicznych kanałów komunikacji do prezentowania ofert na stronach www lub w mediach społecznościowych czy też do zbierania zamówień pocztą elektroniczną.
Z perspektywy cyberprzestępców nowi użytkownicy Internetu, gorzej zaznajomieni z zasadami bezpieczeństwa sieciowego, to nowe atrakcyjne ofiary. Widzimy to w statystykach cyberprzestępczości, która zaczyna dotykać coraz mniejsze podmioty gospodarcze.
Cyberprzestępcy działają szeroko: atakują równocześnie dziesiątki (lub setki) tysięcy anonimowych klientów. Nawet jeżeli tylko niewielki procent tych masowych ataków jest skuteczny, to efekt skali zapewnia sprawcom opłacalność tego procederu.
Dla własnego bezpieczeństwa warto zatem wiedzieć, jak oni działają.
Przeczytaj, a zrozumiesz lepiej:
- ilu statystycznie Twoich pracowników kliknie w zainfekowany link w wiadomości e-mail,
- co jest obecnie „hitem” cyberprzestępczości,
- jak kradnie się metodą „na wnuczka” w Internecie
- i jak się przed tym wszystkim bronić.
Żeby skutecznie chronić swój biznes, należy najpierw poznać przeciwnika. Zacznijmy od podstaw…
Metody działania cyberprzestępców
Phishing
Dostępne statystyki na temat cyberincydentów wyraźnie pokazują, że metody ataku stosowane przez cyberprzestępców wobec masowych użytkowników (czyli także małych firm) nie są specjalnie wyrafinowane. Mały i średni biznes pada najczęściej ofiarą stosunkowo prostych cyberataków, łączących w sobie elementy technologii i tak zwanej inżynierii społecznej.
Przestępcy podszywają się pod kontrahentów biznesowych (najczęściej banki) lub osoby administrujące firmową siecią komputerową i przekonują internautów do podjęcia całkowicie nieracjonalnych działań – najczęściej ujawnienia swojego hasła albo zainstalowania na wykorzystywanym komputerze lub smartfonie złośliwego oprogramowania.
Jak pokazują doświadczenia, w typowej, niedużej firmie najsłabszym ogniwem w systemie zabezpieczeń jest poczta elektroniczna, która dla hakera może być zarówno celem ataku, jak i narzędziem umożliwiającym jego realizację.
Dlatego najbardziej popularnym sposobem ataku wykorzystywanym przez hakerów jest phishing, czyli rozsyłanie za pomocą poczty elektronicznej linków do złośliwego oprogramowania lub stron wyłudzających dane użytkownika.
Corocznie publikowany raport firmy Verizon – Data Breach Investigation Report (w edycji z 2021 roku), analizując trendy cyberincydentów w okresie pandemii, pokazał, że udział phishingu w przełamywaniu zabezpieczeń rośnie i zyskuje na znaczeniu. Dość przerażające są statystyki pokazujące skuteczność tej formy ataku – zgodnie z Verizon w firmie liczącej 10–15 pracowników możemy być praktycznie pewni, że co najmniej jeden z użytkowników kliknie w otrzymany pocztą link do niesprawdzonego adresu www, narażając komputer (lub smartfon) i sieć firmową na ingerencję ze strony hakera.
Jeżeli link wysłany za pośrednictwem phishingu prowadzi do sfałszowanej strony banku, która pyta nas o login i hasło, a następnie o kody jednorazowe (SMS) potwierdzające transakcje płatności, to w sytuacji, gdy osobą, która padła ofiarą phishingu, jest dysponent rachunku bankowego firmy (w małej firmie najczęściej jej właściciel) to skutki tego ataku mogą być bardzo dotkliwe.
Ale na tym kreatywność oszustów się nie kończy…
Złośliwe oprogramowanie i ransomware
Sfałszowane wiadomości pocztowe (lub SMS) mogą też służyć cyberprzestępcom jako ścieżka pozwalająca im na zainstalowanie na naszym komputerze (lub smartfonie) złośliwego oprogramowania. Użytkownik klikający na złośliwy link (otrzymany pocztą lub pobrany ze strony www) może oddać kontrolę na urządzeniem cyberprzestępcom, którzy następnie wykorzystają je jako furtkę do dalszego ataku.
Kontrolując (w tle, w sposób niewidoczny dla użytkownika) komputer lub smartfon cyberprzestępcy mogą przejmować wysyłane przez nas informacje, w tym hasła (kody jednorazowe) podawane podczas dostępu do usług sieciowych.
Przejęcie nawet jednego komputera może stanowić przyczółek, który stopniowo pozwala cyberprzestępcom na kontrolowanie kolejnych urządzeń, a docelowo całej sieci firmowej.
Na tym scenariuszu opiera się tak zwany ransomware – obecnie zdecydowany „hit” cyberprzestępczości (rosnący w tempie ponad 20% w skali rocznej). Modus operandi cyberprzestępców opiera się tu na zablokowaniu możliwości korzystania z komputerów firmowych (najczęściej przez zaszyfrowanie dysków) i domaganiu się okupu, po którego zapłaceniu systemy są przywracane do użyteczności.
Ransomware jest zagrożeniem dla wszystkich korzystających z sieci. W małej firmie już zablokowanie jednego komputera i zawartych na nim danych może być kluczowe dla prowadzenia biznesu, ale na rynku znane są udokumentowane przypadki, kiedy ransomware dotykało dużych korporacji, które decydowały się na wypłacenie okupów przekraczających nawet milion dolarów.
Business email compromise
Opisując najbardziej typowe ataki powiązane z pocztą elektroniczną, warto wspomnieć o jeszcze jednym, i to najprostszym sposobie wyłudzania środków, polegającym na zwykłym wysłaniu adresatowi sfałszowanej faktury lub informacji o zmianie rachunku bankowego. Ten typ cyberataku nie różni się specjalnie od wyłudzania pieniędzy od starszych osób opisywaną w prasie metodą „na wnuczka”, która, pomimo że wydaje się tak naiwna, iż całkowicie niemożliwa do realizacji, w praktyce bywa zaskakująco skuteczna.
Jak pokazują statystyki, taka zmiana numeru konta i w rezultacie wysłanie środków do przestępców zamiast do kontrahenta zdarza się dość często. W Polsce znane są przypadki, kiedy tą metodą jednorazowo wyłudzono kwoty kilkuset tysięcy złotych, a według FBI skala tego typu przestępstw globalnie wynosi około 13 miliardów USD.
W niewielkim biznesie rodzinnym, gdzie właściciel osobiście nadzoruje finanse i na bieżąco jest w kontakcie z ważniejszymi kontrahentami, tego typu atak ma prawdopodobnie małe szanse powodzenia. Ale już średniej wielkości firma, gdzie obowiązki obsługi korespondencji, współpracy z dostawcami i opieki nad finansami są rozdzielone, z powodzeniem może stać się ofiarą tego typu ataku. Szczególnie jeżeli kwota sfałszowanego dokumentu będzie na tyle nieduża, że nie wzbudzi podejrzeń, a sfałszowany dokument będzie przypominał rutynowe rozliczenie od stałego dostawcy, lub na przykład od zakładu energetycznego.
Jak się chronić przed podstawowymi cyberatakami
Aby uchronić naszą firmową pocztę przed cyberprzestępcami powinniśmy ją zabezpieczyć. Małej czy średniej firmy nie stać na inwestowanie w skomplikowane zabezpieczenia techniczne stosowane przez wielkie korporacje, ale na szczęście nawet jeżeli korzystamy z podstawowych wersji systemów i usług sieciowych, to wykorzystując dostępne w standardzie rozwiązania, możemy podjąć kilka praktycznych kroków, które w miarę skutecznie utrudnią zadanie cyberprzestępcom.
Szkolenie
Zanim zaczniemy wdrażać jakiekolwiek zabezpieczenia techniczne, warto poznać podstawowe zagrożenia związane z eksploatacją systemów informatycznych. W firmie o cyberbezpieczeństwie należy mówić w sposób otwarty, a nie budować wokół tego tematu aurę tajemniczości.
Dobrą praktyką jest, aby każdy użytkownik komputera co najmniej raz do roku został przeszkolony w zakresie cyberbezpieczeństwa i aby przypomniał sobie podstawowe zasady bezpiecznej eksploatacji technologii, takie jak:
- konieczność ochrony haseł do systemu,
- sceptycyzm przy otwieraniu wiadomości pocztowych pochodzących od nieznanego nadawcy
- czy przy uruchamianiu linków dostarczanych SMS-owo.
Z perspektywy pracodawcy sfinansowanie takiego przypominającego szkolenia każdemu pracownikowi (a także sobie) powinno być standardem. W odniesieniu do osób pracujących na stanowiskach szczególnie narażonych na tego typu ataki (na przykład obsługujących konto bankowe) warto nawet pokusić się o szkolenie bardziej zaawansowane. Oferta rynkowa dobrych szkoleń jest na tyle szeroka, że dla żadnej firmy znalezienie propozycji dostosowanej do jej skali i możliwości finansowych nie powinno być problemem.
Współdzielenie kont pocztowych
W kwestii podnoszenia bezpieczeństwa poczty elektronicznej możemy podjąć działania także od strony technicznej. Warto zacząć od wyeliminowania kont wykorzystywanych przez więcej niż jedną osobę.
Przypisując konta do konkretnej osoby możemy założyć, że jego właściciel (gestor) mimowolnie będzie starał się je chronić, mając świadomość, że ewentualne incydenty powiązane z tym kontem będą szły na jego rachunek. Konta dzielone między pracownikami są de facto bezpańskie i zapewnienie ich ochrony jest znacznie trudniejsze.
W praktyce przypisanie kont do konkretnych osób nie zawsze może być proste. W sytuacji, w której biuro obsługujące klientów pracuje na dwie zmiany, a pracownicy współdzielą ten sam komputer stacjonarny i udostępniają klientom adres kontaktowy: biuro@nazwafirmy.pl łatwo ulec pokusie, aby hasło do konta „biuro” ujawniano szerszemu gronu pracowników. Tego typu rozwiązanie jednak zawsze prowadzi do sytuacji, w której hasło albo bez ograniczeń jest znane osobom postronnym, albo (bardzo często) jest zapisane gdzieś w pobliżu komputera.
Każdy system pocztowy (nawet w podstawowym standardzie) oferuje możliwość tak zwanych aliasów i możliwość delegowania uprawnień. Zamiast korzystać ze współdzielonego konta „biuro”, warto w systemie pocztowym zdefiniować reguły określające, który z pracowników może czytać i wysyłać maile z adresu biura w ramach swojego konta imiennego. Dla małej firmy takie rozwiązanie może wydawać się trochę na wyrost, ale dzięki temu będziemy znacznie mniej podatni na inżynierię społeczną i wyłudzanie haseł.
Nieujawnianie haseł
Rezygnując ze współdzielenia konta między pracownikami, osiągamy ważną korzyść – eliminujemy sytuacje, w których dana osoba może być poproszona przez drugiego pracownika o podanie swojego hasła do systemu.
Dzięki wdrożeniu zasady, że każde hasło do systemu jest znane tylko jednej osobie, i konsekwentnemu jej stosowaniu, unikamy typowego scenariusza inżynierii społecznej, w którym cyberprzestępcy podszywają się pod administratorów systemu i proszą użytkowników o hasło w celu instalacji oprogramowania lub przeprowadzenia diagnostyki sprzętu. Dowolna prośba o hasło powinna być dla pracownika zawsze wyraźnym sygnałem, że jest celem cyberataku.
Warto podkreślić, że zasada niewspółdzielenia haseł powinna w zasadzie obejmować wszystkie systemy informatyczne, a w szczególności dostęp do firmowego konta bankowego. Paradoksalnie sytuacja, w której niewielka firma upoważnia tylko jedną osobę do dostępu do swojego konta bankowego, a w praktyce z bankowości elektronicznej korzysta kilka osób, jest bardzo częsta. W dłuższej perspektywie takie rozwiązanie jest proszeniem się o problemy. Znacznie lepiej jest zawczasu poprosić bank o dodatkowy kanał dostępu, nawet jeżeli będzie on wykorzystywany tylko incydentalnie (na przykład w okresie urlopowym).
Silne uwierzytelnienie lub uwierzytelnienie dwuskładnikowe
Nawet prawidłowo zarządzane hasła stanowią na tyle słabe ogniwo dla bezpieczeństwa systemów, że coraz częściej uważa się je za niewystarczające narzędzie do potwierdzenia tożsamości. W uzupełnieniu do hasła stosowane są dodatkowe rozwiązania: albo wymagające skorzystania z dodatkowego urządzenia (najczęściej smartfona), albo wykorzystujące cechy biometryczne danej osoby (odcisk palca, wizerunek twarzy). Dopiero potwierdzenie tożsamości przez dwa składniki (najczęściej hasło lub PIN i coś jeszcze) jest uważane za dostatecznie silne, aby umożliwić użytkownikowi skorzystanie z systemu.
Od kilku lat silne uwierzytelnienie jest wymagane (z mocy prawa) w odniesieniu do płatności dokonywanych w Internecie i coraz częściej staje się także standardem dla innych usług sieciowych, w tym poczty elektronicznej.
Włączenie uwierzytelnienia dwuskładnikowego przy dostępie do skrzynek pocztowych jest na pewno jedną z lepszych rekomendacji, którą warto zastosować także w niewielkich firmach. Rozwiązanie to skutecznie zabezpiecza nas przed podstawowymi typami ataków, a jego przełamanie wymaga od cyberprzestępcy większej wiedzy technicznej i koordynacji ataku równolegle na dwa kanały komunikacji (najczęściej komputer i telefon). Przeprowadzenie takiego bardziej zaawansowanego ataku w odniesieniu do małej firmy może być dla przestępcy po prostu nieopłacalne.
Oczywiście ceną, jaką płacimy za dodatkową ochronę naszej poczty przez silne uwierzytelnienie, jest utrudniony dostęp sieci i konieczność (okresowego) potwierdzania hasła dodatkowo kodami SMS. Ale konieczność wyboru pomiędzy prostotą korzystania z systemów a ich podatnością na działania hakerów jest typowym dylematem z dziedziny cyberbezpieczeństwa.
Na pewno ci z nas, którzy stawiają na wygodę wykorzystania systemów, stanowią dla hakerów lepszych kandydatów na ofiary cyberataku.
Rozpocznij quiz
„Darmowy przegląd Twojej firmy”
I wywołaj w swojej firmie lawinę pozytywnych zmian
A zacznij od...
- usunięcia śmiertelnego grzechu małych firm. Znasz go?
- sprawdzenia, co TERAZ da Twojej firmie najwięcej gotówki. To nie zawsze klienci.
- wykorzystania ukrytego potencjału, który JUŻ w Twojej firmie JEST!
Mogę cofnąć zgodę w każdej chwili. Dane będą przetwarzane do czasu cofnięcia zgody.
Jakub Bojanowski
Doświadczony menedżer i doradca, od ponad 20 lat zajmujący się tematyką bezpieczeństwa teleinformatycznego. 9 września na rynku ukaże się jego książka pt. Zdążyć przed hakerem. Jak przygotować firmę na cyberatak, której celem jest przybliżenie tematyki cyberbezpieczeństwa menedżerom na co dzień niespecjalizującym się w zagadnieniach technologicznych.
