Kadra zarządzająca firm to łakomy kąsek dla hakerów. Skuteczny atak na taką osobę zwiększa prawdopodobieństwo wyłudzenia pieniędzy, a ponadto czasem łatwiej zhakować członka zarządu niż innych przedstawicieli firmy, ponieważ menedżerowie częściej niż inni pracownicy podróżują, a więc korzystają z wielu punktów dostępu do internetu o różnej jakości zabezpieczeń. Z obserwacji firmy brokerskiej EIB wynika, że hakerzy obierający sobie za cel menedżerów najczęściej atakują w trakcie urlopu. Liczą na to, że czujność ofiary i innych pracowników firmy w tym czasie może być mniejsza.
— Warto pamiętać, że zanim zaczną działać, skrupulatnie śledzą osobę, pod którą chcą się podszyć, a w trakcie ataku powołują się na zdobyte tym sposobem szczegóły, zwiększające ich wiarygodność, które potem ułatwią dostęp do danych — mówi Aleksander Chmiel, menedżer w firmie brokerskiej EIB.
Podaje trzy przykłady najczęściej stosowanych przez nich technik. Pierwsza wykorzystuje głównie mejl albo telefon osoby z zarządu. Przykładowo: hakerzy wysyłają fałszywą wiadomość mejlem do firmy, która zazwyczaj zawiera prośbę o podanie danych dostępowych do bankowości elektronicznej lub informacji o karcie kredytowej. Często próbują pozyskać dane telefonicznie.
— Zdarza się, że przestępcy łączą formy kontaktu, żeby uwiarygodnić wysłaną wiadomość i zmniejszyć czujność odbiorcy. Dzwonią, podszywając się pod osobę z zarządu i mówią na przykład, że należy pilnie wykonać przelew dla kontrahenta, a za chwilę wyślą wiadomość ze szczegółami. Taki mejl może zawierać dane konta przestępcy, złośliwy załącznik lub link — mówi Aleksander Chmiel.
Kolejny sposób to wykorzystywanie do ataku otwartych albo słabo zabezpieczonych sieci publicznych, np. hotelowych bądź punktów Wi-Fi w popularnych miejscowościach wypoczynkowych. Włamując się do nich, hakerzy mogą zarówno śledzić i kopiować zachowania w internecie, jak i instalować złośliwe oprogramowanie na urządzeniach, które łączą się przez tę sieć. Inną metodą jest przejęcie kontroli nad prywatnym urządzeniem. Wiele osób korzysta z takiego sprzętu na urlopie, a zwykle jest on zabezpieczony słabiej niż służbowy.
Dlatego będąc na wakacjach, warto pamiętać o podstawowych zasadach bezpieczeństwa, takich jak łączenie się z internetem wyłącznie za pośrednictwem sprawdzonych sieci, korzystanie z maszyn wirtualnych przy niepewnych połączeniach oraz ograniczenie dzielenia się w sieci szczegółami osobistymi. Firmy i działy IT powinny zadbać o kontrolę adresów mejlowych przychodzących wiadomości, dwuetapową weryfikację przelewów, dodatkowe oprogramowanie zabezpieczające oraz regularne testy szczelności systemu. Jednak mimo to hakerzy mogą złamać lub obejść zabezpieczeniafirmy. Wtedy jedynym sposobem na zminimalizowanie strat jest ubezpieczenie.
— Polisa od zagrożeń cybernetycznych przede wszystkim minimalizuje rozmiar szkód i zapewnia niezwłoczne i niezbędne wsparcie w razie zgłoszenia incydentu bezpieczeństwa. Można z niej opłacić wszelkie koszty związane z zatrudnieniem zewnętrznych ekspertów, usunięciem złośliwego oprogramowania, odzyskaniem dostępu do zainfekowanych urządzeń lub usunięciem luki w ochronie. Zapewni też rekompensatę strat powstałych w wyniku ataku — mówi Aleksander Chmiel.