Spytaj o najlepszą dla Ciebie ścieżkę rozwoju kariery: 22 250 11 44 | infolinia@ican.pl

Premium

Materiał dostępny tylko dla Subskrybentów

Nie masz subskrypcji? Dołącz do grona Subskrybentów i korzystaj bez ograniczeń!

Jesteś Subskrybentem? Zaloguj się

X
Następny artykuł dla ciebie
Wyświetl >>

Bezpieczny CFO: internetowe zagrożenia i jak sobie z nimi radzić

· · 5 min
Bezpieczny CFO: internetowe zagrożenia i jak sobie z nimi radzić

W gąszczu informacji o zagrożeniach w internecie trudno odnaleźć praktyczne zalecenia dotyczące rozsądnego i bezpiecznego posługiwania się technologią.

Komunikacja elektroniczna jest nieodłączną częścią życia prywatnego i zawodowego każdego CFO. Oto praktyczne i pozbawione zbytniej awersji do ryzyka rozwiązania, które każdy dyrektor finansowy (i nie tylko) może stosować na co dzień.

Powyższy tekst powstał w ramach współpracy Banku Millennium i ICAN Institute, nad inicjatywą Klub CFO. Celem tego projektu jest wspieranie dobrych praktyk i identyfikacja kluczowych trendów w środowisku dyrektorów finansowych i głównych księgowych. Więcej informacji na stronie www.klubcfo.pl.

Nowe życie starych przestępstw

Przestępcy aktywnie wykorzystują stare wzorce przestępstw, dostosowując je do możliwości i ograniczeń, jakie dają nowe technologie. Wielu przedsiębiorców w Polsce spotyka się z cyfrową wersją przestępstwa polegającego na próbie podszycia się pod jednego z kluczowych pracowników firmy. Mimo pozornej łatwości wykrycia ataki oparte o socjotechnikę stanowią niezmiennie jedno z głównych zagrożeń dla bezpieczeństwa finansowego przedsiębiorstw. Zespoły dbające o bezpieczeństwo klientów banków bardzo często spotykają się z przestępstwami zbliżonymi do tego opisanego poniżej.

Jestem w podróży, mam pilną sprawę

Posiadający wysokie uprawnienia pracownik zespołu księgowego otrzymuje prośbę przesłaną z adresu e‑mail założonego w jednym z popularnych serwisów pocztowych. Okazuje się, że jest to prywatny adres jednego z wiceprezesów zarządu, który aktualnie przebywa na urlopie i nie ma dostępu do korporacyjnej skrzynki pocztowej. Prezes tłumaczy, że jego urlop tak naprawdę jest związany z jedną z tajnych akwizycji, nad którą pracuje zarząd. Prosi o pilne przekazanie kwoty 24 tysięcy dolarów, stanowiącej wadium udziału w dalszych negocjacjach, na konto szwajcarskiej firmy prawniczej obsługującej transakcję. Ponadto podkreśla, jak ważna jest poufność – pracownik jest proszony o zachowanie tej transakcji w pełnej tajemnicy, ponieważ jakiekolwiek plotki mogą zagrozić sukcesowi transakcji.

Pracownik, korzystając z posiadanych uprawnień, inicjuje transfer, który jest rutynowo akceptowany przez jego przełożonego w paczce przelewów realizowanych na koniec każdego dnia roboczego. Ponieważ przestępstwo zauważono dopiero po kilkunastu dniach w ramach miesięcznej rekoncyliacji kont walutowych, udało się odzyskać mniej niż 10% skradzionych środków.

Wbrew pozorom skuteczna ochrona przed przestępstwem podobnym do opisanego powyżej jest bardzo trudna – dzieje się tak dlatego, że w większości przedsiębiorstw rzeczywiście zdarzają się sytuacje wymagające natychmiastowego transferu środków.

Poza tym przestępcy umiejętnie wykorzystują ważne dla każdego człowieka emocje – np. poczucie przynależności do kręgu zaufania czy powierzenia ważnej misji, tak jak w powyższym przykładzie. Odpowiedzią może być nie tylko jasne określenie standardowego procesu dysponowania środkami znajdującymi się na rachunkach bankowych, ale również zaprojektowanie szybkiej ścieżki, która jednocześnie będzie zawierać np. dodatkową weryfikację przy pomocy innego kanału komunikacji (np. telefonicznie na znany numer, gdy prośbę otrzymaliśmy za pośrednictwem wiadomości e‑mail).

W cyfrowym świecie odżywają również zupełnie „tradycyjne” przestępstwa. Jednym z masowo wykorzystywanych przez przestępców schematów działania jest próba skłonienia pracownika zespołu księgowego do zmiany rachunku bankowego powiązanego z kontrahentem. Narzędzia cyfrowe dają przestępcom możliwość skuteczniejszego zamaskowania próby nadużycia.

Przepraszam, ale znowu zmieniamy rachunek

Jeden z pracowników zespołu księgowości otrzymał wiadomość e‑mail od zaprzyjaźnionej księgowej jednego z głównych kontrahentów. Szef znowu zdecydował o zmianie obsługującego ich banku. To już trzeci raz w tym roku. Pracownik wymienił kilka e‑maili z księgową, żartując, że przy tym poziomie niestabilności może powinni zacząć przyjmować rozrachunki w gotówce. Pracownik wprowadził konieczne zmiany do kartoteki klienta i zarchiwizował wiadomość e‑mail w folderze powiązanym z kontrahentem.

Gdy kilka tygodni później do firmy wpłynęła informacja o opóźnionej płatności, nikt specjalnie się tym nie przejął – płatność została zrealizowana na czas, a ten kontrahent zawsze miał problem z rekoncyliacją kont. Dopiero gdy po kilku dniach obie strony transakcji zaczęły szczegółowo analizować sytuację, okazało się, że numer konta, który został przekazany w e‑mailu należał do obywatela Litwy pracującego czasowo w Polsce. Kontrahent potwierdził na podstawie dzienników zdarzeń z systemu pocztowego, że podobny e‑mail nigdy nie został wysłany. Dopiero analiza ekspercka wskazała, że e‑mail był dobrze przygotowaną mistyfikacją, a przekazane w ramach rozliczenia prawie 210 tysięcy złotych jeszcze w dniu przelewu opuściły system bankowy w kantorze kryptowalut. Cała wartość transferu została utracona.

Warto też podkreślić, że istotnym sposobem ochrony przed podobnymi przestępstwami jest zwiększanie wiedzy pracowników na temat pożądanych i niepożądanych zachowań, a także schematów najpopularniejszych przestępstw. Szybkie efekty można uzyskać dzięki lekturze sekcji „bezpieczeństwo” na stronach internetowych banków, a także dzięki dostępnym w języku polskim e‑learningom. Najbardziej skuteczny będzie dedykowany program edukacyjny zbudowany w oparciu o symulacje, e‑learningi oraz cykliczne szkolenia dostosowane do procesów funkcjonujących w przedsiębiorstwie.

Ratunku, znajomy chce mnie okraść

Bardzo popularnym schematem przestępstw w Internecie jest wykorzystywanie kont w portalach społecznościowych do wyłudzeń środków od kontaktów (przyjaciół) konta kontrolowanego przez przestępcę. W ramach schematu przestępca wykorzystuje nieautoryzowany dostęp do konta w portalu społecznościowym, by w imieniu właściciela konta prosić o pomoc np. w opłaceniu należności za drobną transakcję.

Czy pomożesz mi zapłacić?

Odzywa się do nas niewidziany od kilku dni znajomy, prosząc o drobną przysługę – w jego banku trwa przerwa serwisowa, a potrzebuje pilnie doładować telefon swojemu synowi przebywającemu na wakacjach. Prosi o zrealizowanie doładowania na 20 zł, obiecuje zwrot w ciągu kilku godzin oraz przesyła link do popularnej platformy płatności. Po kliknięciu w link wybieramy obsługujący nas bank, jesteśmy przenoszeni na jego stronę, logujemy się i realizujemy transakcję w zwyczajny sposób. SMS autoryzujący utwierdza nas w przekonaniu, że wszystko jest w porządku.

Gdy po kilku dniach z naszego konta oszczędnościowego znikają środki, odnajdujemy na liście przelewów zaufanych konto, którego nie jesteśmy w stanie zidentyfikować. Dopiero uważna lektura SMS autoryzującego sprzed kilku dniu i weryfikacja historii przeglądarki potwierdzają, że strona, na którą zostaliśmy przekierowani, nie była stroną banku, a jedynie dokładną kopią umieszczoną pod podobnym adresem, a transakcja doładowania konta tak naprawdę była transakcją polegającą na dodaniu nowego, zaufanego odbiorcy.

Opisane powyżej przestępstwo występuje w wielu wariantach – czasem przestępcy proszą o znacząco większą kwotę (np. duże zakupy w aptece internetowej), która sama w sobie jest celem przestępstwa, a nie jedynie motywem pozwalającym na zdefiniowanie nowego odbiorcy zdefiniowanego. To, co łączy wszystkie te schematy, to wykorzystanie zaufania do elektronicznych metod komunikacji w celu skłonienia ofiary do wykonania niekorzystnej dla niej czynności.

Kontrola nad kontem w portalu społecznościowym jest dla przestępców również okazją do identyfikacji dalszych ofiar oraz uwiarygodnienia stosowanych schematów nadużyć. Kontrolując konto CFO w jednym z portali społecznościowych lub nawet jedynie konto będące jego znajomym, dużo łatwiej będzie dokonać przestępstwa opisanego w pierwszej części artykułu – wykorzystać aktualne zdjęcia, kontakty, a także nawiązania do życia prywatnego, które uwiarygodnią przestępcę w oczach pracownika będącego jego narzędziem. Jest to dobry przykład tego, jak prywatne i służbowe cyfrowe życie przeplatają się, stwarzając przestrzeń do potencjalnych przestępstw.

Bezpieczny CFO

Połączenie nowych technologii, podstaw psychologii oraz sprawdzonych schematów nadużyć stanowi skuteczne narzędzie w rękach przestępców. Jednocześnie istnieje wiele prostych metod, które możemy aktywnie wykorzystywać, by stać się mniej atrakcyjnym celem. Wśród podstawowych czynności związanych z higienicznym posługiwaniem się technologią warto zwrócić szczególną uwagę na następujące dobre praktyki:

  • Dbaj o aktualność wykorzystywanego oprogramowania – wspólnie z CIO dbaj o to, by pracownicy korzystali z aktualnych wersji oprogramowania zgodnie z zaleceniami producenta. W artykule skupiłem się na wykorzystaniu socjotechniki, ale duża część obserwowanych przestępstw polegających na uzyskaniu nieautoryzowanego dostępu do konta przedsiębiorstwa rozpoczyna się od wykorzystania znanego i łatwego do usunięcia błędu w oprogramowaniu.

  • Korzystaj z narzędzi uwierzytelnienia, limitów oraz schematów autoryzacji udostępnianych przez twój bank – wybierz bank, który oferuje aktywny token lub autoryzację transakcji przy pomocy aplikacji mobilnej. Korzystaj z możliwości zarządzania limitami oraz tworzenia wieloetapowych procesów autoryzacji. Poświęć chwilę na analizę pakietów przelewów – weryfikując, nie ograniczaj się jedynie do sald.

  • Dbaj o swoją prywatność w sieci – informacje, które publikujesz w mediach społecznościowych, mogą być wykorzystane do stworzenia wiarygodnej historii, będącej podstawą potencjalnego nadużycia (np. odwołanie do hobby, podróży, aktualnej aktywności). Informacje o swoich aktywnościach udostępniaj jedynie ograniczonemu, znanemu ci gronu odbiorców.

  • Zwracaj uwagę na szczegóły – przestępcy sprawnie wykorzystują automatyzację, z jaką podchodzimy do powtarzalnych czynności. Staranne przeczytanie treści SMS‑a autoryzującego transakcję, weryfikacja numeru konta lub adresu strony internetowej może pomóc uratować nasze, zarówno służbowe, jak i prywatne środki finansowe. Gdy nie jesteś pewien, zweryfikuj wiadomość innym kanałem komunikacji (np. zadzwoń, gdy chcesz zweryfikować zlecenie otrzymane e‑mailem).

  • Edukuj – pokaż, że dbasz o bezpieczeństwo i dziel się wiedzą na ten temat ze swoimi pracownikami. Zapewnij im aktualne źródło wiedzy na temat schematów nadużyć oraz bezpiecznego posługiwania się narzędziami autoryzacji.

Patrząc na problem w skali przedsiębiorstwa, warto również podkreślić, że niezależnie od branży, w której funkcjonuje firma, warto rozważyć stworzenie dedykowanych struktur dbających o bezpieczeństwo systemów informatycznych i procesów biznesowych, a także troszczących się o edukację pracowników.

CFO może pełnić nieocenioną rolę w budowaniu takich struktur, nie tylko poprzez alokację zasobów firmy, ale także przez aktywną pracę nad zapewnieniem bezpiecznego ekosystemu procesów i narzędzi służących do zarządzania pieniędzmi przedsiębiorstwa.

Cezary Piekarski

Dyrektor Departamentu Bezpieczeństwa, Bank Millennium.

Polecane artykuły

Polecane artykuły