Pracownik jako najsłabsze ogniwo w zabezpieczaniu sieci IT

Grudzień 18, 2020, 11:34

Ósma rano, dzień dobry! Pani Basia zasiada z kawą do komputera i zaczyna sprawdzać maile. Reklama, szkolenie, oferta maseczek, szkolenie, potencja… O! W końcu jest faktura za zamówienie. Pani Basia klika i sprawdza za cóż to ta faktura. Przeczytawszy stwierdza, że to jednak nie do niej, zamyka plik i zapomina o sprawie. Trzy dni później Pani Basia siada do komputera i nie ma czego czytać, tak naprawdę nikt w firmie nie ma już czego czytać, bo jedyne co widzą to komunikat o zaszyfrowaniu firmy i haraczu w bitcoinach… 

 

Scenariusz stary jak świat, o którym każdy z nas słyszał, na który nikt z nas się już nie nabierze. Przynajmniej w teorii. Przytoczona scena to jedna z możliwych zagrywek hakerów, zamiast pliku możemy znaleźć link do pobrania faktury, link z prośbą o zaktualizowanie danych firmowych lub co gorsza, jak pewna Pani z linii lotniczych, fakturę z podmienionym numerem konta. A później zostaje już tylko szukanie pieniędzy w cybernetycznym polu. 

O ile z problemem spamu czy z wirusami komputerowymi możemy sobie bardzo łatwo poradzić, o tyle z atakami socjotechnicznymi już niekoniecznie. Dlaczego? Dlatego, że nie ma w firmie słabszego ogniwa niż… człowiek! 

To człowiek zapisuje hasła na karteczkach wokół monitora, to człowiek układa hasła dostępowe z imienia dziecka, psa czy małżonka. To człowiek podaje hasło koleżance z biurka obok, bo „weź u mnie nie działa, zrobimy u ciebie”. I w końcu to człowiek klika w mailowe załączniki i linki z promocjami. Niech pierwszy rzuci pdfem ten, który nigdy w życiu którejś z powyższych czynności nie wykonał. 

 

Hakerzy prześcigają się w pomysłach, jak wykorzystując socjotechnikę dostać się do waszych danych i portfeli. Oczywiście pierwsze lepsze kampanie hakerskie wysyłane w świat do tysięcy ludzi nie są skuteczne, ale dobrze zaplanowany atak już tak. 

Weźmy jako przykład phishing, czyli atak na średniej wielkości firmę mający na celu opróżnienie konta bankowego za pomocą fałszywych informacji z działu logistyki naszego dystrybutora. 

Haker po rozpoznaniu zwyczajów firmy wie, że zamawiamy podzespoły u dystrybutora „Podzespoły S.A.”. Całą korespondencję prowadzimy przez mail, zaczynając od zapytania o cenę, przez zamówienie, kończąc na fakturze. 

Taka wiedza wystarczy hakerowi, aby podszywając się pod naszego dystrybutora zacząć wysyłać nam informacje, że zmianie ulegają sposoby informowania o niedopłatach, saldach, szybkich płatnościach itp. Oczywiście wszystkie informacje są formatem bliźniaczo podobne do oryginałów, ale np. zamiast adresu nadawcy płatnosci@podzespolysa.com , otrzymujemy je z platnosci@podezpolysa.com. Składamy nasze zamówienie i w odpowiedzi dostajemy e-mail o treści „Szanowni Państwo, dziękujemy za zamówienie. W związku z nieosiągnięciem pułapu darmowej przesyłki, prosimy o dopłatę 10 zł. Aby ułatwić naszą współpracę mogą Państwo skorzystać z szybkich płatności pod poniższym linkiem. Zespół Podzespoły S.A.”. 

Co robimy? Oczywiście płacimy. A jak zapłacimy przez link to możemy się pożegnać z pieniędzmi na firmowym koncie, bo właśnie przez podstawiony link do sfałszowanej strony z płatnościami daliśmy hakerowi dostęp do naszego konta firmowego. 

 

To tylko jeden z przykładów, jeśli nie email, może być SMS, w ostatnim czasie takie SMS-y otrzymywali klienci pewniej firmy kurierskiej. 

Pytanie jakie należy sobie teraz postawić to – czy ja lub mój pracownik zorientowalibyśmy się, że to atak? Gwarantuję, że w minimum 50% przypadków dopłata zostałaby wykonana przez link do płatności.

 

Co zrobić, aby uchronić się przed brakiem świadomości zagrożeń wśród pracowników?  

Szkolić, szkolić i jeszcze raz szkolić. Tylko podnoszenie wiedzy, uczulanie na zagrożenia, które niesie za sobą globalna informatyzacja, pomoże zminimalizować podatność na socjotechniczne ataki hakerskie. 

Pracownik, który wie, jak może wyglądać phishing czy oszustwo na SMD będzie wiedział, jak ma się zachować w sytuacji rzeczywistego ataku.

MZ