Hakerzy zarzucili przynęty. Dasz się złowić?

Przedsiębiorstwo jest bardziej łakomym kąskiem, bo można mu ukraść więcej pieniędzy niż zwykłemu człowiekowi. Dlatego to na pracownikach firmy - szczególnie specjalistach od finansów i księgowości spoczywa duża odpowiedzialność. Dziennie wykonują dziesiątki przelewów. Chwila nieuwagi i pojawią się kłopoty.

Na co zwrócić uwagę przy wykonywaniu operacji finansowych?

Jednym z najpopularniejszych ataków jest phishing. Jego istotą jest przykucie uwagi adresata i zdobycie jego zaufania poprzez podszywanie się pod zaufaną instytucję, np. bank, firmę telekomunikacyjną, kuriera.

Przykładowy scenariusz phishingu: pracownik otwiera maila z alarmującym tytułem "wykryliśmy próbę kradzieży pieniędzy z twojego konta". Nadawca zaleca zalogować się do systemu bankowości elektronicznej. Podaje link. Po kliknięciu ofiara przekierowana jest na stronę logowania - wszystkie wpisane na niej dane trafią do złodziei.

Inny scenariusz. Pracownik dostaje e-maila: przypomnienie o opłacie zaległej faktury. Dla wygody, jest ona w załączniku. Pracownik otwiera go i tym samym jego komputer zostaje zainfekowany. Co dalej? Najczęściej taki wirus w żaden sposób się nie ujawnia, ale przy realizacji płatności jest w stanie podmienić numery rachunku odbiorcy. Lub - w wersji ekstremalnej - podmienia nie tyle numer rachunku, ile całą zawartość przeglądarki. Pracownik widzi stronę swojego banku, ale wirus przesyła do hakera dane logowania, ponadto - podstawia komunikat żądający podania kodu autoryzacyjnego z SMS-a lub tokenu, w celu np. potwierdzenia tożsamości.

Popularną ostatnio metodą oszustów jest tzw. vishing (voice phishing). Do osoby odpowiedzialnej za firmowe finanse dzwoni złodziej podający się za pracownika banku. Chce sprawdzić poprawność danych klienta w ramach rutynowej kontroli albo dzwoni z ostrzeżeniem, że doszło do zablokowania firmowego rachunku. Prosi o kod z narzędzia autoryzacyjnego. Pracownik przeświadczony, że rozmawia z bankiem, podaje dane.

Antywirus to nie wszystko

Co zrobić, by nie dać się złowić i nie narazić firmy na straty? Konieczne jest oczywiście odpowiednie oprogramowanie, ale również pracownicy powinni zdawać sobie sprawę, jakie są popularne metody ataku.

Nie wolno przede wszystkim klikać w załączniki i linki niewiadomego pochodzenia. Jeśli już pracownik to zrobi, powinien natychmiast powiadomić dział informatyczny firmy oraz bank i wylogować się z newralgicznych aplikacji jak poczta czy konto bankowe oraz odłączyć komputer od sieci.

Trzeba zachować czujność przy potwierdzaniu przelewów. Jeśli firma korzysta z kodów SMS, kluczowe jest sprawdzanie ich treści. Warto zaopatrzyć firmę w osobną komórkę, która służy tylko do odbierania takich SMS-ów.

Pilnujmy się też w rozmowach telefonicznych. Bank nigdy nie żąda od użytkownika podania numeru karty, loginu czy hasła, chyba że rozmowa jest prowadzona na prośbę klienta. Bank nigdy też nie rozsyła informacji o zablokowaniu konta czy żądań natychmiastowego zalogowania się do systemu.

Nieuwaga kosztuje

● Nigdy nie otwieraj załączników ani linków w e-mailach niewiadomego pochodzenia

● Jednorazowe kody z SMS-a lub tokena służą głównie do zatwierdzenia przelewu. Banki nie proszą o nie w celu dodatkowej weryfikacji np. twojego połączenia internetowego czy adresu IP

● Przed zalogowaniem sprawdź, czy zgadza się adres www, oraz czy na pasku adresu jest zielona ikona kłódki

● Program antywirusowy musi być stale aktywny

● Nie korzystaj z niezabezpieczonych, publicznych sieci WiFi

@RY1@i02/2015/235/i02.2015.235.18300030c.803.jpg@RY2@

Marcin Urbański, kierownik zespołu przedsiębiorstw w 3 oddziale PKO Banku Polskiego w Gdańsku

Phising to zjawisko związane z wyłudzaniem danych. Przestępcy, którzy chcą uzyskać dane przedsiębiorców, wysyłają do nich e-maile z prośbą o zalogowanie się w systemie transakcyjnym. Przede wszystkim musimy zweryfikować, skąd wiadomość do nas trafia. Jeżeli adres e-mailowy jest nietypowy albo np. pochodzi z domeny zarejestrowanej za granicą, a jesteśmy klientami banku polskiego, to może to być dla nas wskazówka, by zachować wzmożoną czujność. Na pewno pod żadnym pozorem nie należy odpowiadać na podejrzane wiadomości i nie korzystać z podanego linku. Jeśli już klikniemy i otworzy nam się strona "banku" , to na pewno nie powinniśmy wpisywać tam danych identyfikacyjnych firmy, loginu ani haseł do konta. Jeżeli mamy do czynienia z próbą wyłudzenia danych, skontaktujmy się ze swoim doradcą lub z bankiem i przekażmy mu informację na temat tego, że padliśmy ofiarą oszustów. Banki w takich momentach odpowiednio reagują i powiedzą, co należy zrobić.

Kamil Góra

Partnerem jest PKO Bank Polski