Pozor na rastúci počet kyberútokov voči firmám počas koronakrízy

Obdobie koronakrízy sa stalo živnou pôdou pre rôzne formy kyber kriminality. Podvodníci dokážu využiť situáciu, keď množstvo ľudí pracuje z domu, fyzicky oddelení od svojich šéfov a ostatných členov tímu. Ľahšie dochádza k tomu, že „falošný riaditeľ“ žiada vykonať takú či onakú finančnú transakciu. Podvodníkom nahráva aj pocit neistoty, strach či slabá informovanosť mnohých zamestnancov.

Aj keď sa na Slovensku zamestnanci už pomaly vracajú do kancelárií, zvýšená opatrnosť je stále na mieste. Viaceré firmy si počas koronakrízy uvedomili, že práca z domu vie byť naozaj efektívna a snažia sa občasný home-office pretaviť do firemnej kultúry aj po postupnom uvoľnení opatrení.

 Doba tzv. home-office týmto podvodom jednoznačne nahráva, pretože je prakticky nemožné stretnúť nadriadeného osobne a porozprávať sa s ním o konkrétnej finačnej transakcii. To znamená, že riziko a šance podvodníkov sa výrazne zvyšujú,“ hovorí Peter Mucina, riaditeľ spoločnosti Euler Hermes na Slovensku a pokračuje:Mnoho zamestnancov okrem toho v súčasnosti využíva neformálne komunikačné kanály (napríklad aplikáciu WhatsApp), ktoré umožňujú aj posielanie hlasových správ. Už sme boli svedkami prvých pokusov o podvod, pri ktorých boli falošné e-maily sprevádzané aj hlasovými správami, s cieľom zvýšiť ich dôveryhodnosť. Imitujúci hlas bol niekedy trochu skreslený, ale inak sa podobal skutočnému šéfovi.“

S mapou koronavírusu prichádza aj prekvapenie v podobe počítačového vírusu

Okrem fyzickej vzdialenosti nahráva podvodníkom aj pocit neistoty a s tým súvisiaca potreba nových informácií. Napr. v Nemecku boli zaznamenané prípady webových stránok, ktoré ukazujú mapu šírenia koronavírusu v reálnom čase. Zamestanci, pripojení k firemnej sieti na diaľku, si kliknutím na túto mapu nevedomky na pozadí stiahli aj škodlivý softvér.

Zvyšuje sa aj počet podvodných e-mailov – tzv. phishingu, ktoré tvrdia, že obsahujú video pokyny na ochranu pred koronavírusom a informácie s aktuálnym vývojom v súvislosti s hrozbou nákazy. Podvodníci zneužívajú aj Svetovú zdravotnícku organizáciu (WHO) vo forme falšovaných informácií a vyhlásení v dôsledku pandémie.

Keď už sú raz podvodníci vo firemnej sieti, sledujú komunikáciu zamestnancov s cieľom identifikovať kľúčové osoby, napríklad vo finančných oddeleniach. Taktiež analyzujú spôsob oslovenia (ty / Vy), formálny či neformálny tón a iné zvyklosti v snahe čo najviac sa priblížiť skutočnej komunikácii, ktorej autentickosť potom zneužijú v oblasti sociálneho inžinierstva.

Otvorená firemná kultúra pomáha

Jedným z najefektívnejších spôsobov, ako sa vyhnúť možným škodám, je mať otvorenú firemnú kultúru. Ak sa zamestnanec vie jednoducho spojiť a hovoriť so šéfom, môže to úsilie kyberpodvodníkov zmariť. Čím striktnejšia hierarchia v spoločnosti je, tým väčšia je aj šanca podvodníkov na úspech. Medzi obeťami podvodov s falošnými nadriadenými sa oveľa častejšie nachádzajú najmä hierarchicky organizované spoločnosti alebo spoločnosti spravované vlastníkmi.

Okrem firemnej kultúry je dôležitejšie než kedykoľvek predtým najmä povedomie zamestnancov o súčasnej situácii. „Vzdelávanie v tejto oblasti je teraz veľmi dôležité, aj keď môže byť pre niektoré spoločnosti obtiažne zorganizovať online školenia,“ hovorí Peter Mucina. Je presvedčený, že zamestnanci si musia byť vedomí nových hrozieb v podobe stále častejších phishingových útokov a nevyžiadaných správ, ktoré so sebou práca z domu prináša. „Inak otvoria dvere pre podvodníkov jediným kliknutím.“

Štyri oči sú dobré, šesť je ešte lepších

Je dôležité, aby zamestnanci a celé spoločnosti bez výnimiek dodržiavali všetky požiadavky, pokyny a pravidlá, aj keď to môže byť v niektorých prípadoch práce z domu zložitejšie. Zásada štyroch očí sa musí uplatňovať aj pri práci na diaľku.

Pri vyšších finančných transakciách môže byť teraz dokonca užitočné zaviesť zásadu šiestich očí, pretože fyzické podpisovanie dokumentov je momentálne značne sťažené,“ pripomína riaditeľ spoločnosti Euler Hermes na Slovensku. „Okrem toho by si mali spoločnosti pred schválením vyšších transakcií zaviesť princíp spätného overenia a nastaviť si tak ďalšiu úroveň bezpečnosti. Hlavnú úlohu ale aj naďalej musí plniť ostražitosť a inštinkt.“

10 tipov, ako sa môžu spoločnosti chrániť pred „falošným šéfom“:

  1. 1. Budovať väčšiu vnímavosť zamestnancov. Najmä finančné oddelenia (doma i v zahraničí) by mali byť prostredníctvom špeciálnych školení informované o podobných podvodoch. Spoločnosti by mali povzbudiť všetkých zamestnancov, aby okamžite nahlásili podozrivý obsah.
  2. 2. Otvorená komunikácia: Tímy by sa napriek fyzickej vzdialenosti mali snažiť udržiavať úzky kontakt (napr. prostredníctvom virtuálnych stretnutí, tímových rozhovorov atď.). Výmena najdôležitejších telefónnych čísel (obchodných aj súkromných) či konzultácie s kolegami a nadriadenými tiež pomáhajú predchádzať pokusom o podvod.
  3. 3. Vždy zadajte webové adresy ručne. Neklikajte na žiadne odkazy ani prílohy a  neodpovedajte na nechcené správy. Kontrolujte prípony sťahovaných súborov, dokumentov a videí - nemali by byť vytvorené vo formáte EXE alebo LNK.
  4. 4. Obmedzte prístupové práva osôb, ktoré sa pripájajú k podnikovej sieti. Pokiaľ to je možné, pri práci z domova by sa na komerčné účely nemali používať žiadne verejné alebo súkromné ​​počítače, pretože s nimi možno manipulovať. Ak by bolo nevyhnutné využiť súkromný počítač zamestnanca, malo by sa tak urobiť až po predchádzajúcej konzultácii s firemným IT a nadriadenými.
  5. 5. Nastavte si bezpečné a rozdielne heslá pre rôzne služby a vždy nainštalujte najnovšie aktualizácie pre operačné systémy a aplikácie, aby ste čo najviac odstránili zraniteľné miesta. Aplikácie vždy sťahujte iba z dôveryhodných zdrojov (napr. Google Play, App Store) alebo zo zdrojov poskytovaných vašou vlastnou spoločnosťou.
  6. 6. Buďte zvlášť opatrní pri e-mailoch od neznámych odosielateľov s prílohami alebo odkazmi. Nasledujúce domény / adresy k téme koronavírusu už boli identifikované ako nebezpečné:

    - coronavirusstatus[.]space
    - coronavirus-map[.]com
    - blogcoronacl.canalcero[.]digital
    - coronavirus[.]zone
    - coronavirus-realtime[.]com
    - coronavirus[.]app
    - bgvfr.coronavirusaware[.]xyz
    - coronavirusaware[.]xyz
  7. 7. Dávajte si pozor na preklepy a úpravy v emailových adresách, z ktorých vám prišla faktúra alebo žiadosť na akúkoľvek finančnú transakciu. Napríklad emailová adresa s koncovkou ...@eulerhermes.com je správna, ale …@eulerhernnes.com je falošná.
  8. 8. Softvér na hlasovú imitáciu: Zamestnanci by nikdy nemali prijímať pokyny na zmenu bankových údajov telefonicky, interne ani externe, vždy by mali trvať na písomných pokynoch a preposielať ich svojim nadriadeným kvôli overeniu.
  9. 9. Zamestnanci by mali všeobecne nedôverovať každej hlasovej správe a najmä tým z verejných aplikácií, ani keby to znelo ako hlas vášho generálneho riaditeľa. Vždy by si mali pokyny spätne preveriť so svojim nadriadeným.
  10. 10. Menej je viac: Podvodníci často využívajú informácie zo sociálnych sietí, zamestnanci by mali byť pri zverejňovaní osobných informácií na internete opatrní.