Przez asystentkę do serca firmy

opublikowano: 01-08-2019, 22:00

Najdroższy rozwód w historii — Jeffa Bezosa, prezesa Amazona — zaczął się od zhakowania jego telefonu.

Miliarder miał romans, który nagłośniono dzięki wyciekowi prywatnej korespondencji. Osobisty ochroniarz Bezosa, zajmujący się jego cyberbezpieczeństwem, opisał całą sytuację w dzienniku „The Daily Beast”. Przyznał, że choć brakuje twardych dowodów, wszystko wskazuje na to, że za wyciekiem stoi rząd Arabii Saudyjskiej, który zhakował telefon Bezosa i ujawnił zdobyte dane American Media Inc. i gazecie „National Enquirer”. Bezos, którego majątek wyceniany był na prawie 160 miliardów dolarów, w wyniku rozwodu oddał byłej żonie 36 miliardów. Dlatego jeśli cyberatak na firmę, to przez prezesa. Albo jego asystentkę. Business Email Compromise — metoda, w której przestępcy wykorzystują dostęp do poczty firmowej, m.in. przez konto prezesa, w ostatnich trzech latach spowodowała 12,5 mld USD strat, szacuje FBI. Jak to się robi? Przeprowadzenie ataku socjotechnicznego, umożliwiającego zdobycie takich informacji, jest prostsze, niż się wydaje, o czym kilka dni temu przekonał się Tomasz Szpikowski, prezes TestArmy, firmy zajmującej się cyberbezpieczeństwem.

— Właśnie jechałem na spotkanie z zarządem koncernu motoryzacyjnego w ich wrocławskiej siedzibie. Po drodze, rzecz trywialna, rozładował mi się telefon. W samochodzie miałem kabel USB, ale bez adaptera pozwalającego na podłączenie do gniazda zapalniczki. Dojechałem na miejsce, wszedłem do głównego holu, gdzie zostałem przywitany przez asystentkę prezesa. Kiedy zapytała, czy może mi w czymś pomóc, odpowiedziałem, że owszem, rozładował mi się telefon, a przy sobie mam wyłącznie kabel USB. Asystentka wzięła telefon i nie mając adaptera, podpięła go do swojego służbowego laptopa w sekretariacie zarządu — opowiada Tomasz Szpikowski.

Co by się stało, gdyby okazał się cyberprzestępcą? Jego telefon byłby skonfigurowany tak, by natychmiast po podłączeniu zainfekować urządzenie oprogramowaniem dającym do niego zdalny dostęp. Wówczas mógłby zrobić wszystko: skopiować e-maile wymieniane między centralą firmy a innymi placówkami i klientami, zaszyfrować dokumenty, pobrać dane biznesowe, faktury, informacje o pracownikach, znałby wewnętrzne procedury, politykę wynagrodzeń, budżety czy strategię rozwoju firmy.

— Pamiętajmy, że człowiek jest najsłabszym ogniwem systemu bezpieczeństwa — tłumaczy Tomasz Szpikowski.

Praktycznie każdy gadżet może otwierać drzwi do strategicznych danych elektronicznych — smartfon, pendrive, transmiter do klawiatury, adapter do rzutnika i inne podłączane do komputerów akcesoria. Przeprowadzone przez TestArmy CyberForces testy pokazały, że luki w systemach bezpieczeństwa ma aż 5 na 10 popularnych urządzeń IoT.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Małgorzata Grzegorczyk

Polecane

Inspiracje Pulsu Biznesu