Początek ubiegłego roku. Oszuści podszywający się pod Bank Millennium promowali w mediach społecznościowych fałszywą ankietę, obiecując nagrody za jej wypełnienie. Cel? Wyłudzenie danych osobowych oraz informacji o kartach płatniczych.
W przypadku ING Banku Śląskiego cyberprzestępcy próbowali pozyskać dane do bankowości elektronicznej poprzez fałszywe strony. Z kolei ktoś, kto ma konto w BNP Paribas, mógł otrzymać e-mail z prośbą o „aktualizację”. Wiadomość kierowała oczywiście do fałszywej strony banku.
Narażeni na atak ze strony przestępców są nie tylko klienci, ale również pracownicy banków, czego przykładem był Bank Spółdzielczy w Zambrowie. Pracownicy otrzymywali wiadomości e-mail podszywające się pod zaufane instytucje, zawierające złośliwe załączniki.
Po ich otwarciu automatycznie instalowane było oprogramowanie szyfrujące dane, co spowodowało przerwy w dostępie do usług bankowych, a także straty finansowe.
Porażająca skala
Powyższe przykłady działań phishingowych, które polegają na wyłudzaniu danych w celu uzyskania korzyści finansowych lub zakłócenia pracy ważnych instytucji, dotyczą nie tylko branży finansowej. W podobny sposób została zaatakowana ogólnopolska sieć aptek Super-Pharm czy Miejskie Przedsiębiorstwo Komunikacyjne w Krakowie.
Cel? Zawsze ten sam: wyłudzenie danych o klientach firmy, które można wykorzystać do pozyskania kolejnych informacji, sprzedaży, a w końcowym efekcie – przestępcy mogą na tym dobrze zarobić.
Skala tych działań? Niewyobrażalna, o czym można się przekonać, zaglądając na witrynę CERT Orange Polska. W ciągu zaledwie jednej doby w Polsce doszło do ponad 126 tys. ataków! Paradoksalnie oszuści najbardziej aktywni byli w godzinach przedpołudniowych. Interesująca jest również lista haseł, których próbowali użyć, by dostać się na prywatne lub służbowe skrzynki pocztowe, bazy danych klientów firmy. Czy któraś z tysięcy polskich firm nie używa takich haseł: 3245gs5662d34, zyad1234?
A może dostępu do firmowej sieci Wi-Fi wciąż broni hasło: user, admin lub support?
Bezpieczna firma nie istnieje
Z raportu KPMG „Barometr Cyberbezpieczeństwa” wynika, że aż 66 proc. firm w Polsce odnotowało incydenty związane z naruszeniem bezpieczeństwa.
Co dziesiąta organizacja zarejestrowała ponad 30 takich incydentów w ciągu jednego roku. Duże przedsiębiorstwa, zatrudniające powyżej 250 pracowników, są najbardziej narażone na ataki.
– Trwająca cyberwojna oraz dynamiczna adopcja nowych technologii są przyczyną dużego wzrostu skali i złożoności cyberataków. Stanowią one istotne wyzwanie dla polskich firm borykających się z ograniczonymi zasobami, wynikającymi z trudnego rynku pracy oraz spowolnienia gospodarczego. Dlatego w cyberbezpieczeństwo trzeba dziś inwestować bardzo rozważnie. Warto szukać inwestycji, które przełożą się na najbardziej efektywne ograniczenie ryzyka – ocenia Michał Kurek, partner, Advisory, szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Promocja, która dotnie niejedną firmę
To wszystko oznacza, że ofiarą ataku hakerskiego może stać się każda firma, która posiada choćby jeden komputer podłączony do Internetu. To może być niewielki warsztat wulkanizatorski z bazą klientów zapisaną na pulpicie komputera w prostym pliku Excel. Ktoś zapyta, do czego mogłyby się przydać te dane?
Mając taką informację – wystarczy imię i nazwisko oraz numer telefonu – oszust może masowo rozsyłać do osób z bazy choćby SMS z informacją o niezwykle atrakcyjnej wiosennej promocji na wymianę opon w firmie. To będzie wiadomość o promocji, która nigdy nie dojdzie do skutku. Ale żeby z niej skorzystać, trzeba zapisać się w formularzu, bo liczba miejsc jest ograniczona, i zapłacić 1 zł. Tylko tyle!
Kto z nas nie skusiłby się na wymianę opon dla stałych klientów w takiej cenie?
Tyle że żadnej wymiany nie będzie. Wymienimy najwyżej z oszustami dane firmowej karty płatniczej lub dostęp do naszego banku. Jaka jest w tym przypadku odpowiedzialność przedsiębiorców? Przede wszystkim to utrata zaufania klientów, którzy zostaną oszukani tylko dlatego, że firma odpowiednio nie zabezpieczyła ich danych. To jednak nie wszystko. To początek kłopotów.
Kary liczone w milionach
Klienci, których dane zostały naruszone, mają przede wszystkim prawo dochodzić odszkodowania za poniesione straty materialne oraz niematerialne, takie jak naruszenie dóbr osobistych czy utrata reputacji.
W praktyce oznacza to, że przedsiębiorstwo może być zobowiązane do wypłaty znacznych sum tytułem rekompensaty dla poszkodowanych osób.
Polskie prawo przewiduje również odpowiedzialność karną za nieuprawnione przetwarzanie danych osobowych. Zgodnie z art. 107 ustawy o ochronie danych osobowych, kto przetwarza dane osobowe, do których nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
W przypadku naruszenia ochrony danych, które skutkuje ryzykiem dla praw i wolności osób fizycznych, przedsiębiorstwo ma obowiązek zgłosić ten fakt prezesowi Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od stwierdzenia naruszenia. Niedopełnienie tych obowiązków może skutkować nałożeniem kar finansowych sięgających do 20 mln euro lub 4 proc. całkowitego rocznego obrotu firmy z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa – dodają eksperci z kancelarii prawnej Sowa i Partnerzy i jako przykład podają spółkę Morele.net, na którą prezes UODO nałożył karę w wysokości 3,8 mln zł!
Facebook wspiera oszustów?
Dziś obieg informacji w sieci jest błyskawiczny. Wystarczy jeden niepozorny link i w ciągu kilku godzin tysiące osób mogą zostać ofiarami cyberprzestępców. Poszkodowana jest również firma, pod którą podszywają się oszuści. Ze zjawiskiem tym bardzo często można spotkać się w mediach społecznościowych, które stały się najłatwiejszym sposobem na szybką komunikację z ofiarami.
Szokująca w tym kontekście jest jednak bierność takich platform, a momentami wręcz sprzyjanie internetowym oszustom.
Przykładem takich działań jest to, co spotkało CERT Polska, czyli pierwszy w Polsce zespół reagowania na incydenty bezpieczeństwa komputerowego. Jego głównym celem jest monitorowanie zagrożeń w cyberprzestrzeni, koordynacja obsługi incydentów na poziomie krajowym oraz budowanie świadomości w zakresie cyberbezpieczeństwa.
Stąd też kampania CERT, która pod koniec ubiegłego roku w kompleksowy sposób pokazywała, jak oszuści, bez żadnych przeszkód, wykorzystują serwisy społecznościowe do oszukiwania Polaków.
Link do artykułu umieszczony na Facebooku w krótkim czasie od publikacji został jednak usunięty. Podobny los spotykał artykuły przygotowane przez media, które zdecydowały się podjąć temat publikacji CERT Polska! Link pojawił się ponownie, gdy temat został nagłośniony, choć jak przyznają eksperci CERT, to nie rozwiązuje problemu, a lista zaleceń, które mają sprawić, że media społecznościowe będą bezpieczne dla ich użytkowników, jest bardzo długa. Co z tym zrobi Meta, czyli firma zarządzająca Facebookiem – nie wiadomo.
Dalece sięgająca ostrożność
W przypadku cyberataków najsłabszym ogniwem zabezpieczeń nie jest firmowy komputer, lecz my sami. Nawet najlepszy smartfon nie uchroni danych przed kradzieżą, jeśli zabezpieczono go PIN-em będącym naszą datą urodzenia.
Podobnie jest z hasłem do firmowej sieci Wi-Fi, które nie powinno być łatwe do zapamiętania przez prezesa, lecz trudne do złamania przez osoby postronne.
Warto też przestrzegać w firmie kilku kluczowych zasad, by zminimalizować ryzyko utraty danych, i przypominać o tym swoim pracownikom.
- Sprawdź adres nadawcy. Uważnie zweryfikuj adres e-mail lub numer telefonu nadawcy. Oszuści często używają adresów łudząco podobnych do prawdziwych, z drobnymi literówkami lub dodatkowymi znakami.
- Analizuj treść wiadomości. Zwróć uwagę na błędy językowe, gramatyczne i stylistyczne. Wiadomości phishingowe często zawierają literówki lub niepoprawne sformułowania.
- Nie klikaj. Unikaj otwierania linków i załączników w podejrzanych wiadomościach. Mogą one prowadzić do fałszywych stron lub zainfekować smartfon albo komputer złośliwym oprogramowaniem.
- Nic natychmiast. Oszuści często tworzą poczucie pilności, aby skłonić do szybkiego działania bez zastanowienia. Bądź ostrożny wobec wiadomości wymagających natychmiastowej reakcji.
- Weryfikuj podejrzane prośby. Instytucje finansowe i zaufane organizacje zazwyczaj nie proszą o podawanie poufnych informacji przez e-mail lub SMS. Jeśli otrzymasz taką prośbę, skontaktuj się bezpośrednio z daną instytucją, korzystając z oficjalnych kanałów komunikacji.
