Nie daj się nabrać na pizzę

opublikowano: 28-05-2019, 22:00

To mogło zdarzyć się w każdej firmie. Pewnego dnia pracownicy dostali mejle z informacją o otwarciu w okolicy pizzerii, która pierwszym klientom oferowała 30 proc. zniżki.

Zrzucili się na osiem pizz. Po kilkudziesięciu minutach w firmie pojawił się dostawca z zamówionym jedzeniem i gratisem — ledowymi lampkami na USB, zmieniającymi kolory w rytm muzyki. Mile zaskoczeni upominkiem pracownicy podłączyli je do komputerów. Kilka minut później firmowa sieć przestała działać.

— Zaczęliśmy od stworzenia fałszywej strony WWW, a następnie zamówiliśmy naklejki z nazwą i logo pizzerii. Do ataku wykorzystaliśmy służbowe mejle podane na stronie atakowanej korporacji. Po otrzymaniu zamówienia nasz pracownik dostarczył pizzę, naklejając na pudełko logo fikcyjnej. W lampki, które dostali pracownicy, wbudowaliśmy spreparowane pendrive’y ze złośliwym oprogramowaniem. Pod budynkiem czekał nasz specjalista od cyberbezpieczeństwa, który po uzyskaniu zdalnego dostępu do urządzeń zaszyfrował wszystkie dane w firmowym systemie — opowiada Szymon Chruścicki z TestArmy CyberForces, który przygotował scenariusz ataku.

TestArmy zajmuje się cyberbezpieczeństwem, a metodą na pizzę udowodniła, że firma, która ma ochronę na najwyższym poziomie, może paść ofiarą hakerów, jeśli zawiedzie najsłabsze, najmniej przewidywalne ogniwo — człowiek. Cenzin z Polskiej Grupy Zbrojeniowej stracił kilka milionów złotych, które wpłacił cyberprzestępcom. Podszyli się pod dostawcę broni z Czech, który jakoby zmienił numer konta. Pracownicy Cenzinu nie zweryfikowali wysłanych mejlem informacji o nowym numerze, na który należało uiszczać płatności. Dane 20 tys. pracowników FBI i 9 tys. Departamentu Bezpieczeństwa w USA wyciekły po tym, jak podający się za nowego pracownika haker zadzwonił do Departamentu Sprawiedliwości i poprosił o przekazanie kodu dostępu do zastrzeżonych stron tych instytucji. W ten sposób zdobył dostęp do wewnętrznej sieci, zawierającej m.in. adresy mejlowe członków armii i informacje o numerach ich kart kredytowych.

W Polsce z atakami phishingowymi styka się rocznie prawie 20 proc. internautów. Na celowniku są użytkownicy banków i systemów płatniczych oraz klienci sklepów internetowych, co dowodzi, że głównym celem hakerów są pieniądze — wynika z badania Kaspersky Lab. Rośnie liczba ataków whalingowych, czyli bardziej dokładnego i wyrafinowanego phishingu nakierowanego na instytucje rządowe i duże biznesy. Menedżerowie wysokiego szczebla i dyrektorzy firm, którzy mają dostęp do wielu zastrzeżonych rejonów infrastruktury informatycznej, są 12 razy bardziej narażeni na atak socjotechniczny niż rok temu — wynika z raportu Verizon DBIR 2019.

Polska nie jest jednak głównym celem cyberprzestępców. Najwięcej ofiar ataków phishingowych znajduje się w Brazylii (blokady oprogramowania antyphishingowego firmy Kaspersky Lab uruchomiły się u 21,6 proc. użytkowników), Australii, Hiszpanii i Portugalii. W Polsce odsetek ataków na użytkowników Kaspersky Lab wyniósł 10,2 proc.

Zdrowy Biznes
Bądź na bieżąco z informacjami dotyczącymi wpływu pandemii koronawirusa na biznes oraz programów pomocowych
ZAPISZ MNIE
×
Zdrowy Biznes
autor: Katarzyna Latek
Wysyłany nieregularnie
Katarzyna Latek
Bądź na bieżąco z informacjami dotyczącymi wpływu pandemii koronawirusa na biznes oraz programów pomocowych
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: rodo@bonnier.pl. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: iod@bonnier.pl. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.
© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Małgorzata Grzegorczyk

Być może zainteresuje Cię też:

Polecane