Czym są vishing i spear phishing? Jak wykorzystanie technologii AI pomaga przestępcom? O zagrożeniach czyhających na przedsiębiorców i ich pracowników rozmawiamy z mgr. inż. Laurą Bober z Wyższej Szkoły Bezpieczeństwa z siedzibą w Poznaniu. – Często cyberbezpieczeństwo traktuje się jako koszt, a nie inwestycję. To błędne myślenie. Zapewnienie cyberbezpieczeństwa to warunek prowadzenia biznesu, ponieważ w przypadku ataku hakerskiego, możemy stracić nie tylko pieniądze, ale i klientów – mówi prodziekan Wydziału Studiów Społecznych w Gliwicach.
Media regularnie informują o wycieku danych z firm. Ofiarami cyberprzestępców zostają nawet wielkie koncerny. Jesteśmy tak bezradni w walce z hakerami?
Duże firmy dysponują okazałymi budżetami, mają zaawansowane systemy ochrony, a mimo wszystko znajdujemy przykłady organizacji, które nie są odporne na ataki. Hakerzy mają swoje metody. Absolutnie nie zgodzę się, że jesteśmy wobec przestępców bezradni. Źródłem problemu bardzo często nie jest brak technologii, tylko czynnik ludzki. Chodzi o niewystarczającą świadomość pracowników. Często jedno kliknięcie, słabe hasło lub brak weryfikacji adresata powoduje, że najlepsze zabezpieczenie techniczne okazuje się nieskuteczne. Można spotkać się ze stwierdzeniem, że bezpieczeństwo organizacji mamy na tyle silne, jak dalece odporne jest jego najsłabsze ogniwo. Niestety w tym przypadku będzie to człowiek. Inwestowanie w narzędzia związane z ochroną to jedno, ale bardzo ważne jest tworzenie kultury bezpieczeństwa. Będzie to organizacja szkoleń i różnego rodzaju testy. Każda firma – niezależnie od branży, w której działa – powinna mieć wdrożone procedury, obowiązujące wszystkich pracowników.
Jeśli giganci mają problemy z cyberbezpieczeństwem, co powinny robić małe i średnie przedsiębiorstwa? Jakie kroki musi podjąć właściciel niedużej firmy, żeby zmniejszyć ryzyko ataku na biznes?
Często cyberbezpieczeństwo traktuje się jako koszt, a nie inwestycję. To błędne myślenie. Zapewnienie cyberbezpieczeństwa to warunek prowadzenia biznesu, ponieważ w przypadku ataku hakerskiego, możemy stracić nie tylko pieniądze, ale i klientów. Obecnie prawie wszystkie firmy działają w środowisku cyfrowym. Korzystamy z chmur, systemów księgowych, CRM-ów. Każda firma niezależnie od wielkości może stać się celem ataku. Często właściciele małych przedsiębiorstw myślą, że problem cyberprzestępczości dotyczy tylko korporacji. Są przekonani, iż zarządzają małymi budżetami i w sumie, w jakim celu hakerzy mieliby przejmować ich dane. To oczywiście błędne stwierdzenie. Mniejsza firma może być po prostu łatwiejszym celem. W niedużych lub średnich przedsiębiorstwach najczęściej nie ma wyspecjalizowanego działu IT. Brakuje ludzi, którzy bezpośrednio zajmowaliby się cyberbezpieczeństwem.
Hasła do kont powinny być regularnie zmieniane (fot. stock.adobe.com)
W raporcie za 2024 rok CERT Polska opublikował dane, według których liczba incydentów bezpieczeństwa związanych z małymi i średnimi przedsiębiorstwami przekroczyła 100 tysięcy. Zagrożenie jest coraz większe. W porównaniu z rokiem 2023 ataków przybyło o ponad 25 proc.
Co możemy zrobić? Wystarczy wykonać kilka ważnych zadań. Ataki udają się czasem tylko dlatego, że w przedsiębiorstwie przekładano na później podjęcie działań wymagających natychmiastowej reakcji. Na przykład nie zaktualizowano systemów. Należy tworzyć kopie zapasowe. Trzymanie danych w chmurach, czy offline, jest już sporym zabezpieczeniem. Na nasze bezpieczeństwo wpływa, jakie hasła tworzymy. Nie stosujmy prostych słów, które łatwo skojarzyć z naszą rodziną lub firmą i przez to odgadnąć. Często zmieniajmy hasła. Uwierzytelnianie dwuskładnikowe może nas czasem denerwować, bo dostajemy żądanie potwierdzenia tożsamości, natomiast jest to również istotna forma zabezpieczenia.
Kolejną kwestią ochrony jest szyfrowanie danych. Obecnie mamy dostęp do wielu porad i szkoleń dotyczących zaszyfrowania plików przed wysłaniem. Jak już wspomniałam, ważne jest podnoszenie świadomości pracowników. Warto mieć wokół siebie czujnych ludzi, którzy wiedzą, w co klikają i co wysyłają w cyfrowym świecie. Myślę, że pracownicy i właściciele firm nie uczęszczają w Polsce na wystarczającą liczbę szkoleń, gdzie omawiane są przykłady, w jaki sposób dbać o nasz firmowy dorobek. Warto raz na jakiś czas przeprowadzić audyt IT, oczywiście dopasowany do skali działalności przedsiębiorstwa. Są różnego rodzaju programy certyfikacyjne, które zwiększają poziom bezpieczeństwa, ale i budują zaufanie klientów. To na przykład „Firma Bezpieczna Cyfrowo”. Program realizowany jest przez NASK oraz Ministerstwo Rozwoju i Technologii.
Niebezpieczny jest vishing, czyli voice phishing, gdy oszuści podszywają się np. pod pracownika banku. Dzwonią i straszą, że nasze oszczędności są zagrożone. Jakie są najczęstsze warianty vishingu i co powinno wzbudzić nasz niepokój?
Voice phishing jest faktycznie groźną formą oszustwa, która jest coraz częściej spotykana. Problem jest w tym, że vishing nie atakuje bezpośrednio naszych komputerów – tylko emocje. Oszuści podszywają się pod pracowników banku, policjantów, czy nawet dział IT. Próbują wywołać w nas panikę. Kluczowe jest, że chcą, abyśmy działali impulsywnie, dlatego tak ważnym jest stosowanie zasady ograniczonego zaufania i zachowanie spokoju. Najczęstszym scenariuszem jest telefon od rzekomego pracownika banku, który alarmuje, że było włamanie na konto. Prosi o podanie danych do logowania, czy innych poufnych informacji. Tu powinna nam się zapalić czerwona lampka, że banki nie weryfikują naszej tożsamości przez telefon.
Kolejną metodą jest oszustwo „na policjanta”, gdzie rzekomy funkcjonariusz chce zabezpieczyć nasze pieniądze. Przestępca sugeruje, że musimy dokonać przelewu bankowego lub wypłacić gotówkę, bo nasze konto znajduje się w zagrożeniu. Innymi wariantami vishingu, jest oszustwo „na kontrahenta”. Przestępca podszywa się wówczas pod firmę, z którą współpracujemy. Twierdzi, że zmienił się na przykład numer konta bankowego, a potrzebny jest pilny przelew. Nieświadomi wysyłamy pieniądze pod niewłaściwy adres.
Mail od oszusta może różnić się od firmowego tylko jedną literą lub kropką (fot. stock.adobe.com)
W takich sytuacjach powinna nas zaniepokoić presja czasu. Pośpiech, który wymusza na nas rozmówca to pierwszy sygnał ostrzegawczy. Innym jest sam sposób komunikowania. Często nasz rozmówca mówi w specyficzny sposób. Robi błędy gramatyczne, zdania są nieskładne, czyli możemy mieć do czynienia z celowo zmanipulowanym przez przestępców nagraniem. Sam numer telefonu – na przykład zagraniczny, z którego korzysta nasz rozmówca, może sugerować zagrożenie, choć i tutaj przestępcy opracowali doskonalszą metodę zmylenia ofiary. Czasem podszywają się pod na przykład infolinię, dlatego warto się rozłączyć, ochłonąć i zadzwonić na oficjalny numer instytucji, żeby zweryfikować, z kim się łączyliśmy. Warto zgłaszać takie przypadki, zwiększać świadomość, by w przyszłości chronić innych.
W firmie o rozbudowanej strukturze kontakt z poszczególnymi działami odbywa się za pomocą komunikatorów, czy poczty elektronicznej. Cyberprzestępcy mogą podszywać się na przykład pod szefa w mailu. Na co zwrócić szczególną uwagę, by nie dać się wmanewrować w oszustwo?
W firmach, gdzie wysyła się setki maili, łatwo o nieuwagę, co wykorzystują przestępcy. Podszywanie się pod przełożonego albo współpracownika, czyli Business Email Compromise, jest zjawiskiem, którego nie możemy lekceważyć. Wiem, że będąc zapracowanymi, często nie mamy na to czasu, ale warto sprawdzać adres, z którego została wysłana wiadomość. Bardzo często różni się jedną literką lub kropką. To taki mały szczegół, ale i jednocześnie znak, że coś nie jest w porządku. Warto analizować ton wiadomości – może być nietypowy. Na przykład ktoś zwraca się do nas w trybie zbyt rozkazującym. W mailu mogą występować też błędy językowe. W przypadku wątpliwości należy zweryfikować taką wiadomość przez kontakt innym kanałem. Czasami wystarczy krótka rozmowa przez telefon.
Utarło się, że podstawą ostrożności w sieci jest unikanie klikania w podejrzane linki. Cyberprzestępcy jednak nie próżnują. Dziś mamy coraz bardziej wyrafinowane metody oszustw – na przykład wygenerowane w AI postaci. Jak się bronić?
Deepfake, czyli generowanie postaci i głosu przy użyciu sztucznej inteligencji jest coraz łatwiejsze. Warto w tym przypadku zwracać uwagę na drobiazgi. Może to być nienaturalny ruch ust, brak kontaktu wzrokowego lub niezsynchronizowane reakcje. Na przykład głos nie nadąża nad przekazem wizualnym. Technologia jest jeszcze niedoskonała, więc takie potknięcia AI powinniśmy wyłapywać, by nie dać się oszukać, choć z czasem to będzie coraz trudniejsze. Kluczowe są procedury. W firmie powinny istnieć zestawy autoryzacji przelewów. Może to być wymóg potwierdzenia przelewu przez dwie osoby.
Co możemy powiedzieć o najnowszych zagrożeniach?
Przestępcy sięgają po coraz bardziej zaawansowane techniki, oparte na automatyzacji sztucznej inteligencji. Klasyczne ataki typu phishing i malware przeszły ogromną ewolucję. Są teraz dopasowane do konkretnej ofiary. Sztuczna inteligencja potrafi zaskoczyć. Przy jej wykorzystaniu cyberprzestępcy wyszukują informacje na przykład z mediów społecznościowych. Później mogą symulować, że nasz rozmówca jest kimś z kręgu naszych znajomych. Spear fishing to ukierunkowany atak cybernetyczny, stworzony właśnie na bazie informacji o nas i firmie, które zostały wyłowione w internecie. Od lat eksperci ostrzegają, by być ostrożnym przy publikowaniu osobistych treści w sieci. Teraz jest to szczególnie aktualne.
Ransomware, czyli rodzaj złośliwego oprogramowania, stał się okazją nie tylko do wyłudzania pieniędzy, ale też do szpiegostwa przemysłowego i sabotażu. Ataki są coraz częściej wymierzone w chmurę albo pliki systemowe. Czasem przejęcie jednego konta wystarczy, aby otworzyć drogę do całej infrastruktury przedsiębiorstwa. Cyberprzestępcy są coraz lepiej zorganizowani. Działają w grupach międzynarodowych. Współdzielą swoją infrastrukturę i trudniej ich namierzyć.
ROZMAWIAŁ PAWEŁ LEWANDOWSKI
Laura Bober (fot. archiwum prywatne)
LAURA BOBER – prodziekan Wydziału Studiów Społecznych w Gliwicach (filia Wyższej Szkoły Bezpieczeństwa z siedzibą w Poznaniu). Jest absolwentką Politechniki Krakowskiej na Wydziale Mechanicznym (kierunek Inżynieria Bezpieczeństwa ze specjalnością bezpieczeństwo pracy i środowiska). Tytuł magistra uzyskała na kierunku Bezpieczeństwo Wewnętrzne w Wyższej Szkole Bankowej Merito w Opolu (specjalność wywiad i detektywistyka). Ponadto ukończyła studia podyplomowe z zakresu resocjalizacji i socjoterapii, pedagogiki resocjalizacyjnej oraz przygotowania pedagogicznego do nauczania przedmiotów zawodowych. W kręgu jej zainteresowań znajdują się zagadnienia z pogranicza psychologii, świadomości oraz elementów fizyki kwantowej. Prywatnie pasjonatka morza i sportu.
